新版ISO27000要求下的数字图书馆信息安全管理
中图分类号: G250.76 文献标识码: A DOI: 10.11968/tsyqb.1003-6938.2015125
Information Security Management of Digital Libraries Based on the ISO 27001:2013 and ISO 27002:2013
Abstract The 2013 version of ISO 27000 standards was compared with that of 2005 and the influence of the standards change on risk assessment and risk control of digital library information security was analyzed, and then it is pointed out that the information security risk assessment method and model of digital library based on version 2005 can be used in version 2013. Based on the analysis of the core control elements and reference ones one by one, this article built the information security risk control method of the digital library according to the new version standards.
Key words digital library; information security; ISO 27000; ISO 27001; ISO 27002; risk management
1 引言
ISO 27000标准族是目前国际上最为通行的信息安全管理体系指导标准和最佳实践。在ISO网站能查到的最新统计数据截止到2013年底,全球通过ISO 27000认证的机构总共有22293个,涉及100多个国家,且认证数量保持每年两位数的增长速度[1]。2008年,ISO 27000标准族的主标准ISO 27001:2005和ISO 27002:2005分别对应转化为中国国家标准GB/T 22080-2008和GB/T 22081-2008,用于国内机构的信息安全管理体系建设和认证[2]。综合考虑数字图书馆的业务流程和信息安全管理要求,遵循ISO 27000是数字图书馆信息安全管理实践包括落实信息安全等级保护条例的最佳选择[3]。按照ISO 27000的思想,数字图书馆信息安全管理应该包括风险评估和风险控制两大过程。其中,风险评估用于识别数字图书馆所面临的安全风险,并计算具体风险的等级值作为实施风险控制的依据。风险控制则根据风险评估的结果选择和实施适合的安全控制措施,目的是将风险始终控制在数字图书馆可以接受的范围内[4]。风险评估和风险控制在ISO 27000标准族中分别对应于ISO 27001和ISO 27002两个主标准,在已发布的版本中有2005和2013两个版本。此前,根据2005年发布的ISO 27001:2005与ISO 27002:2005的思想和原则,国内已经在数字图书馆信息安全风险管理的过程方法、风险评估方法模型以及核心控制要素等方面提出了一系列的解决方案[5-8]。
而在2013年发布的ISO 27001:2013和ISO 27002:2013中,对信息安全风险管理又提出了新的要求。数字图书馆信息安全管理有必要适应新版标准的变化,根据2013版ISO 27000标准族的要求对风险评估与风险控制过程进行相应的调整。
本文的研究目的在于对比2013版与2005版ISO 27000标准族的差异,分析2013版ISO 27000的思想、特点、框架、内容等方面的变化及对数字图书馆信息安全风险评估和风险控制的影响,进而指导新版国际标准下的数字图书馆信息安全风险管理的具体实践。
2 2013版ISO27000标准族的特点
2013年10月19日,在ISO 27001:2005使用了8年后,业界期待已久的新版信息安全管理体系ISO 27001:2013正式发布,ISO 27002:2005也随后同步更新为ISO 27002:2013,ISO 27000标准族的两个主标准都更新到位。ISO 27003、27004、27005等相关标准亦正在修订之中。较之2005版,ISO 27001:2013和ISO 27002:2013标准从框架、结构、内容、逻辑、要求等方面均有大幅改进,为指导组织建立、实施、保持和持续改进信息安全管理体系规定了要求,并提供了更加灵活的实施空间[9]。相比之下,新标准更贴合实际,具备更强的可操作性,其主要特点有:
(1)结构上有重大变动。新版ISO 27001:2013采用了标准化的ISO Annex SL通用架构――ISO导则83 作为整个标准的结构性要求(同ISO 22301)[9]。ISO 27001从2008版的8章拓展到2013版的10章,并且对于PDCA过程方法的展开从章节架构上进行了调整。在ISO 27001:2013中,除了前三章节(范围、规范性引用文件、术语和定义)没有大的变化外,其它章节都进行了调整,包括完整的Plan(计划)、Do(运行)、Check(检查)、Act(改进)四个环节[10]。经过上述调整,ISO 27001:2013的结构更为清晰、严谨,在管理体系间的兼容性方面得到加强,有利于不同管理体系间的接轨与整合。ISO 27002:2013则删除了ISO 27002:2005中的第4章“风险评估与处置”,新增加了第2章“规范性引用文件”,使得安全控制域分章描述前的章节仍保持为4章。同时,因为增加了3个控制域,总章节数从15章增加到18章。 (2)定位上有所区别。ISO 27001:2005指出,组织的信息安全管理应由该组织的管理层负责,而ISO 27001:2013则强调,信息安全由组织的最高管理者负责。两个版本用词上的细微区别,反映的却是新版标准对信息安全的定位在战略意义上的提升[11]。另外,在信息安全管理体系构建主体方面,ISO 27001:2005以资产和技术为主体,而ISO 27001:2013以组织业务关系为主体[12]。以组织业务关系为主体,将使信息安全管理体系的构建流程更为连贯合理,并且可以减少交叉重复。老版标准浓墨重彩地强调了过程方法和PDCA,而新版标准在继续遵循PDCA框架的前提下不再花大量的篇幅说明过程方法、模型这些其它标准中定义过的通用概念,而是重在提出目标要求,对PDCA框架下具体方法的选择不作规定[11]。同样,在风险评估的方法方面,新标准不再强调对资产、威胁、脆弱性等风险要素的识别,组织可以根据自身情况,灵活自由地选用任意可行的风险评估方法,或继续使用现行的方法[9]。可见,新版标准从管理者、主体、方法流程方面都做了重新定位,新的定位使操作更加实用、方便、灵活和有效。
(3)要求上有所改进。2005版共有11个控制域、39个安全类别、133项控制要素,而ISO 27001:2013附录A和ISO 27002:2013的正文严格对应,包含了14个控制域、35个安全类别、113项控制要素。新版标准对老版中的部分控制域进行了分解,对相近或类似的控制要素进行了整合,同时删除了部分过时的、过于具体的控制要素[9]。另外,针对近几年信息技术的发展,新增了部分控制要素,使得控制域和控制要素更加简洁明了并突显重点。同时,对检查的要求也更加明确和严格,要求包括监视、测量、分析、评价等环节,并以5W1H(测什么、如何测、何时测、何时分析、谁来分析、谁负责评价)等方式提出了监视和测量的要求[9]。整体而言,新版标准减少了对技术实现的关注,增加了对管理控制的要求,与信息安全领域“三分技术、七分管理”的黄金定律更加吻合。
3 新标准要求下的数字图书馆信息安全风险评估
2005版和2013版的ISO 27000标准族都把信息安全风险管理划分为风险评估和风险控制两个过程。而且,新老版本的标准又都把风险评估概括为建立准则、选择方法、识别风险、分析风险、评价风险5个环节。在ISO 27001:2005中,对风险评估的具体方法没有作详细规定,但整个风险识别与风险分析过程是依托于对资产价值、威胁、脆弱性、已实施的风险控制措施4种风险要素的识别、赋值和计算展开的。实际评估过程中,常常把已实施的风险控制措施的效果合并到脆弱性的识别、赋值与计算中。因此,遵循ISO 27001:2005标准实施的风险评估过程是以资产、威胁、脆弱性的识别、赋值、计算为核心的。在此基础上,可以再依据选定的风险评估方法和模型计算出各风险项的风险值,并确定可接受风险与不可接受风险,对不可接受风险依照ISO 27002:2005规定的方法进入风险控制过程。
依据ISO 27001:2005的规范,已经有学者对数字图书馆的信息安全风险评估制定了详细的资产、威胁、脆弱性素识别、赋值与计算方法[4-5]。通过理论分析与实际评估结果的比较,还选定了与ISO 27001:2005相容的GB/T 20984-2007中的相乘法作为数字图书馆风险评估的具体方法与计算模型[7]。可以说,以ISO 27001:2005的要求、原则与规范为准绳,数字图书馆已经形成了以资产、威胁、脆弱性等风险要素为核心的包括信息安全风险评估全过程的完整行为准则、操作规范及具体评估方法与计算模型。
与ISO 27001:2005不同,ISO 27001:2013在风险识别和风险分析过程中不再强调资产价值、威胁、脆弱性、已实施的控制措施等风险要素,这意味着任何组织在依照ISO 27001:2013评估信息安全风险时,只须最终结果达到ISO 27001:2013的要求即可,在具体方法的选用方面可以更加宽泛和灵活。换句话说,符合ISO 27001:2013评估目的与要求的任意方法都是允许和可接受的,选用之前的方法包括ISO 27001:2005中推荐方法当然也是可行的。ISO 27001:2013在指导制定和实施信息安全管理体系过程中多次强调组织需要、组织要求,风险评估的过程方法可繁可简,完全取决于组织的需要和要求。组织可以根据自身的情况,选用合适的风险评估方法,或继续使用现行的方法[9]。
ISO 27001:2013虽然放弃了对风险评估具体方法和过程的推荐,并多次强调只须达到组织的需要与要求即可,但对ISO 27001:2005中的方法却并不排斥。具体到数字图书馆的信息安全风险评估,既然依照ISO 27001:2005中的方法已经形成了完整和可操作的风险评估具体方法,并经过实际评估证明可行,同时又满足了ISO 27001:2013的所有要求,因此,在新版ISO 27000标准族要求下,数字图书馆信息安全风险评估无需变动,可采用之前依据ISO 27001:2005制定的方法与过程。
4 新老标准中的信息安全风险控制及数字图书馆控制要素的选取
4.1 新老标准中的控制域、安全类别与控制要素对比
2005版标准中共有11个控制域,2013版改为14个控制域。其中,保持不变的有“安全方针”“信息安全组织”“资产管理”“人力资源管理”“物理和环境安全”“访问控制”“信息安全事件管理”“业务连续性管理”“符合性”等9个控制域,“通信与操作管理”控制域在新标准中被拆分为“操作安全”和“通信安全”2项,“信息系统获取、开发和维护”在新标准中被拆分成“密码”与“系统获取、开发和维护”两项。新标准还新增了“供应关系”控制域[10-11]。
在安全类别方面,2005版共有39项安全类别,2013版减少为35项安全类别。在新版标准中,2005版中的安全类别有的完全保留、有的被拆分成多个、有的多个被整合成一个,还有的被直接删去。2013版标准中完全新增的安全类别有3项,它们是:移动设备和远程办公、供应商关系中的信息安全、冗余。 在控制要素方面,2005版共有133项控制要素,2013版减少为113项控制要素。同样,在新版标准中,2005版中的控制要素有的完全保留、有的名称或内容略有变化、有的被拆分成多个、有的调整了所属控制域,还有的被直接删去。
4.2 数字图书馆风险控制要素的筛选及在新老标准中的对应关系
基于2005版ISO 27001的附录A和ISO 27002的正文,通过对30家数字图书馆的实际调查,文献[4]得到了适合数字图书馆的风险控制87项核心控制要素,分布于11个控制域和33个安全类别,另有参考控制要素34项,分布于10个控制域和22个安全类别。所谓核心控制要素,是指对数字图书馆信息安全风险控制非常重要、作用很大的控制要素。而参考控制要素,则是重要性一般、有时会有一定作用的控制要素。除此之外的即为ISO 27002中对数字图书馆不起作用或没有应用场所的控制要素,不应该出现在数字图书馆风险控制的控制要素列表中。数字图书馆控制要素选取的目标就是区分这三类控制要素,数字图书馆风险控制要素列表中仅包含核心控制要素与参考控制要素[4]。
对2013版与2005版ISO 27001的附录A和ISO 27002的正文经过逐条、逐项进行关联对照和分析,寻找上述87项核心控制要素、34项参考控制要素在新版标准中的对应位置,再对2013版的新增控制要素作认真分析,并结合数字图书馆信息安全管理的现实情况,最终得到ISO 27002:2013标准下数字图书馆的核心控制要素和参考控制要素。其中,核心控制要素75项,分布于13个控制域和29个控制类别,参考控制要素32项,分布于11个控制域和17个安全类别(见表1、表2)。
5 新老标准中的数字图书馆风险控制要素对比分析
5.1 新老标准中的数字图书馆信息安全管理核心控制要素对比分析
数字图书馆核心控制要素在新老标准中的变化共有4种情况:删除、保留、新增和调整。
因为已经从2013版中被删除,那些已删除的核心控制要素在表1并没有出现。之前根据2005版标准得到的87项数字图书馆核心控制要素中,有21项未收入2013版标准,因此,数字图书馆的核心控制要素应该将这21项删去。21项被删去的核心控制要素具体名称为:
信息安全的管理承诺、信息安全协调、与政府部门的联系、服务交付、控制移动代码、信息处理规程、系统文件安全、业务信息系统、监视系统的使用、故障日志、外部连接的用户鉴别、远程诊断和配置端口的保护、网络连接控制、网络路由控制、用户标识和鉴别、敏感系统隔离、输入数据确认、内部处理的控制、消息完整性、信息泄露、业务连续性和风险评估。
保留的核心控制要素在表1中用“完全对应”表示。在基于新版标准的75项数字图书馆核心控制要素中共有42项的名称、详细内容、控制目标及控制域归类等与老版标准完全一致。按照老版标准的筛选依据[6],该42项控制要素仍旧属于数字图书馆的核心控制要素(见表1)。
新增的核心控制要素在表1中用“新增”表示。2013版新增各项控制要素中,有7项应该作为数字图书馆的核心控制要素。具体内容与理由如下:
(1)用户访问设置。数字图书馆的用户类型多样,如馆员和读者,馆员和读者又可以再分为多种类型,每一类用户都存在对应的访问权限设置问题。明确规定不同用户的访问权限并有正式的用户设置过程非常有必要。因此,将“用户访问设置”确定为核心控制要素。
(2)供应商关系的信息安全策略、供应协议中的安全问题、信息与通信技术供应链。数字图书馆的电子资源、硬件设备、系统平台以及网络服务等工作均涉及采购或外包,期间与各类供应商的合作非常密切,应该与供应商就信息安全问题达成一致并形成文件,建立相关的信息安全要求,并在协议中确定相关的信息安全风险要求,以确保数字图书馆与供应商合作关系中的信息安全。因此,将“供应商关系的信息安全策略”“供应商协议中的安全问题”“信息与通信技术供应链”确定为核心控制要素。
(3)信息安全事件的评估和确定、信息安全事件的响应。对于任何组织而言,都应该对已经发生的信息安全高度重视。数字图书馆也不例外,应该及时地评估确定已发生的信息安全事件并按照一定的程序予以处理,使信息安全事件的影响和损失最小化。因此,将“信息安全事件的评估和确定”“信息安全事件的响应”确定为核心控制要素。
(4)信息处理设施的可用性。与数字图书馆有关的服务器、存储、网络、电源等信息处理设施都应该有充分冗余,以确保在任何变化和状况下都能满足其可用性的要求。因此,将“信息处理设施的可用性”确定为核心控制要素。
调整的情况最复杂,在表1中的“名称变化、内容一致”“名称变化、描述略变”“调整归类”“拆分”4种情况都属于调整。基于2005版ISO 27001和ISO 27002得到的数字图书馆信息安全87项核心控制要素中,有26项经过一定的调整后依旧出现在2013版的标准中,这些控制要素仍是数字图书馆信息安全管理的核心控制要素。调整变化主要有三种形式:名称改变而内容表述完全一致、名称改变且内容表述略有变化、控制要素的控制域归类发生变化。
名称改变、内容表述完全一致、控制域归类也完全一致的核心控制要素共有8项(见表1)。
名称改变且内容表述也略有变化、但控制域归类完全一致的核心控制要素共有7项。包括有(括号前的为2013版中的编号与名称,括号中为2005版中的编号与名称):①3.3.1终止或责任变更(4.2.1终止职责),新标准中强调对于责任终止和变更情况不仅要有规定,还应该传达给所有相关人员知晓;②5.2.4用户秘密认证信息的管理(7.2.3用户口令管理)、5.3.1秘密认证信息的使用(7.3.1口令使用),新标准中用户认证信息的范围不仅包括口令,还包括密钥数据和其他存储在产生认证码的硬件(如智能卡)的数据;③5.4.4特权实用程序的使用(7.5.4系统实用工具的使用),新标准中将限制和严格控制的范围缩小在可能超越、有特权的系统和应用程序中;④11.1.6从信息安全事件中学习(9.2.2对信息安全事件的总结),老的标准强调从安全事件中学习总结的方法,而新标准强调的是结果,要从中获取知识、减少未来相关事件发生的可能性;⑤12.1.1计划信息安全连续性(10.1.1在业务连续性管理过程中包含信息安全),新标准更加细化,强调即便在不利的情况下(如危机或灾难)也要确保信息安全管理的连续性;⑥12.1.2实施信息安全的连续性(10.1.3制定和实施包含信息安全的连续性计划),老标准强调在关键业务流程中断和失效时要保持信息安全,而新标准则强调在任何不利的情况下都要保持信息安全的连续性。 控制域归类发生变化的核心控制要素共有11项(见表1)。其中,“2.1.2职责分割”是将老标准中“2信息安全组织”中的核心控制要素“信息处理设施的授权过程”和“6通信和操作管理”中的参考控制要素“责任分割”中的要求进行合并,且改名为“职责分割”,统一置放于控制域“2信息安全组织”中,该项控制要素从组织的宏观层面强调各类职责和权限的分割,以降低对组织资产的滥用。而“2.2.1移动设备策略”是将老标准中“7访问控制”中的参考控制要素“移动计算和通讯”调整到控制域“2信息安全组织”中,且改名为“移动设备策略”。对于数字图书馆而言,随着移动网络的发展普及,数字图书馆的业务流程也逐步到移动终端,应该加强相关管理措施,因此调整为核心控制要素。其他9项控制要素的名称和内容没有变化,而其控制域归类发生了变化(见表3)。该9项控制要素在2005版中就属于核心控制要素,因此在2013版中仍保留为数字图书馆的核心控制要素。
5.2 新老标准中的数字图书馆信息安全管理参考控制要素对比分析
数字图书馆参考控制要素在新老标准中的变化共有5种情况:删除、保留、新增、拆分和调整。
2005版的数字图书馆参考控制要素中有10项未出现在2013版的数字图书馆参考控制要素中。其中,“移动计算和通讯”“责任分割”2项在2013版中被调整为核心控制要素。“处理与顾客有关的安全问题”“防止滥用信息处理设施”“会话超时”“联机时间的限定”“输出数据确认”“网络上的设备标识”“信息系统审计工具的保护”“业务连续性计划框架”8项被2013版标准删除,故也未出现在新版的数字图书馆参考控制要素中。
保留的参考控制要素用“完全对应”表示,共有16项。
新增的参考控制要素用“新增”表示,共有7项。具体内容与理由如下:
(1)项目管理中的信息安全、安全开发策略、安全系统工程原则、安全开发环境、系统安全测试。上述5项控制要素更倾向于在系统工程、项目开发或软件研发的过程中对信息安全管理、环境、测试等方面的要求,而数字图书馆本身自行开发的项目工程比较少,无须在这方面作严格的要求。因此,上述5项控制要素列入参考控制要素。
(2)时钟同步。对于系统的监视与日志分析有较大的帮助,“时钟同步”可以作为参考控制要素加以限制。
(3)限制软件安装。该项控制要素要求组织制定软件安装管理规则,并严格执行和监督,而数字图书馆的员工因工作性质的不同对软件安装的要求差异较大,实际工作中可以列出禁止安装的软件清单(如游戏软件)或必须安装的软件清单(如安全防护软件),不需要规定只能安装哪些软件。因此,“限制软件安装”可作为参考控制要素。
拆分的参考控制要素用“拆分”表示。2005版的数字图书馆参考控制要素中只有“信息标识与处置”存在这种情况,该项控制要素在2013版中被拆分为“信息的标记”“资产的处置”2项。
调整参考控制要素有“名称变化,描述略变”和“名称变化,内容一致”两种表现,共有7项。其中,“名称变化,描述略变”的有2项,“名称变化,内容一致”的有5项。
6 结语
本文结合数字图书馆的实际情况和之前的相关研究成果,对2013版ISO 27000系列标准下的数字图书馆风险评估和风险控制做了对比与分析。2013版的标准在风险评估方面更加强调组织的需要与要求,强调评估结果与组织需求的结合,而具体方法的选用则更加宽泛和灵活,数字图书馆信息安全的风险评估可继续延用依据2005版标准制定的方法和模型。2013版标准的风险控制在2005版基础上有较大改变,相应地,数字图书馆信息安全风险控制的核心控制要素与参考控制要素也有比较大的变动。新标准下的数字图书馆风险控制要素是在2005版的基础上经删除、保留、新增、拆分和调整得来的,更具操作性和实践指导意义。综合数字图书馆的风险评估与风险控制,就形成了2013版ISO 27000系列标准要求下的数字图书馆信息安全管理整体解决方法。
