安全管理中国化难题待解 揭示执行两大难点

　　计世网 “虽然我们这几年做了一系列基础性工作，包括：等级保护、风险评估、应急响应和灾难备份等等，但同时也不得不看到，我国在信息安全管理方面还没能形成一个完善的体系。”中国电子技术标准化研究所副秘书长吴志刚如是说。

　　国务院信息化工作办公室网络与信息安全组组长王渝次指出：“我国信息系统的最大特点就是‘大’,任何一个部门的管理系统都可以覆盖到全国30多个省、几千个县，这就要求

我国的信息安全管理从粗放型转向精细化，要有一个更加科学有效的管理机制和防范机制。”但是，从最近对基础信息网络和重要信息系统进行的安全抽查情况来看，个别单位还存在一些问题。“如果信息安全管理仅仅落实在纸面上，仅仅流于形式的话，我们的信息安全保障体系就将千疮百孔。在这场没有硝烟的战场上，我们是输不起的。”王渝次说。

　　今年5月，国务院信息办开始着手在一些重要信息管理领域开展信息安全管理体系试点工作，同时充分吸收国外信息安全管理标准的先进之处，结合我国信息管理特点，探索一条适合我国国情的信息安全管理之路。

　　近日，在由国务院

　　选择合适的试点难

　　由于我国尚无自己的信息安全管理标准，信息安全管理体系试点工作是采取体系建设与标准制定同步进行的原则，先按照源于英国标准协会的国际信息安全管理体系标准ISO/IEC 17799和ISO/IEC 27001开展的。

　　但是，在具体部署当中，选择合适的试点单位却成了一个不大不小的难题。上海市信息委副主任陈跃华说道：“我们当时选点很犯难，如果选择规模较大的单位，实施管理体系的难度就会比较大，影响试点的效果；如果单位选小了，则又失去了试点的意义。最后我们确定的选点原则是从163家重要信息系统中，选择具有代表性的、对上连接政务系统、对下也有广泛连接的单位。即使这样，163家单位中选谁不选谁，大家也争论了一阵。”

　　不过，最后选择的试点单位都是具有代表性的单位，起到了由点到面、以点带面的效果。比如武汉钢铁(集团)公司是我国制造业第10名、

　　试点单位作为国家信息安全管理工作的探索先锋，必须要明确自己的责任。除了了解和掌握构建ISMS的程序、步骤和方法，各试点单位还要探索信息安全深层次的问题，探索标准的中国化问题。王渝次指出：各试点单位要结合国情，结合行业的情况、企业自身的情况，做好标准的中国化工作。要通过试点工作把标准验证好、调整好、修改好，进而为下一步标准的推广做好准备。“这是试点单位对国家信息安全工作的贡献，这个贡献怎么说都不过分。”

　　王渝次指出，这个阶段试点工作的主要任务，就是要对照着ISO/IEC 17799标准中133个控制点，一条一条地去研究，一个一个地去落实、去突破。

　　管理与标准执行难

　　把国际标准中国化并不是一件简单的事情，各试点单位面临着一系列难题需要解决。

　　1、标准的翻译与适应性难题

　　上海市信息安全测评认证中心主任郭松柏表示：目前我们的采纳的标准ISO/IEC 17799涵盖了信息系统日常安全管理方面的内容，部分安全控制项易于理解，具有可操作性，适合宝山区电子政务管理制度的制定。但是，ISO/IEC 17799标准描述的所有控制方式并非都适合于我们，在具体实施信息安全管理时，还要将这些原则性的建议与宝山区信息委自身的实际情况相结合。

　　宝山区根据工作需要分三个层次采用了该标准的：一般采用、重点采用和没有采用。比如对电子商务、终端时限和连接时间限制等标准就没有采用；上海市医疗保险信息中心也把电子商务、终端时限、连接时间限制等标准列为完全不适用项。

　　海淀区信息办副主任王晖说：落实标准首先要理解标准，但是我们的标准翻译过来的语言比较晦涩难懂。此外，在对标准的剪裁上，ISO/IEC 27001和ISO/IEC 17799中的条框并不完全适用，这也是海淀区政府为什么对电子商务标准进行了适度删减的原因。

　　福建地税局信息技术处工程师李晓虹也提出：标准翻译过来的语言，要让非技术人员同样能够理解才行。此外，ISO/IEC 27001是基于国外的企业管理制度建立起来的，当我们应用于政府机关时，有些标准需要调整和修改，并进行一些增补。虽然ISO/IEC 27001中的管理方法和流程控制具有普适性，但是在具体实施过程中也要结合自己行业的特点和实际工作需要来执行。