论文部分内容阅读
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文80多篇,出版专著近20本。
信息安全管理系列之三十二
信息安全管理体系(ISO/IEC 27000标准族)不但是全球范围内应用最广泛的标准,也是目前国际标准化组织(ISO)发布的规模最庞大的标准族之一。关于这个标准族的技术细节介绍,可以参考《“十二五”国家重点图书出版规划 信息安全管理体系丛书》,在这里,我们重点探讨一个问题,在如此多的类似标准中,ISO/IEC 27000标准族为什么能够脱颖而出?
谢宗晓(特约编辑)
1 市场为什么选择了ISMS
国际标准化组织(ISO)发布的标准并不必然成功,有很多规模庞大且设计良好的标准都没有能够得到市场认可,例如,业界公认OSI七层模型设计精巧,逻辑清晰,但是结果我们都知道了,最终占据市场的是TCP/IP协议[1]。
ISO/IEC 27000标准族起源于“最佳实践”,作为流程类(或方法类)标准,盈利模式就是很大的困难。例如,为产品付费,用户大多都已经习以为常。某种方法,或者某个流程,到现在为止,盈利依然很困难。ISMS盈利的模式恰恰就是“卖手艺”,更通俗地讲,就是告诉企业如何一步一步地做信息安全。
在本文中,我们从标准营销的角度分析ISO/IEC 27000标准族在诸多标准中脱颖而出的原因。
2 积极与OECD指南相结合
经济合作与发展组织(OECD1))在1992年11月26日年发布了《OECD信息系统安全指南》2)。2002年,改版为《OECD信息系统与网络安全准则——发展安全文化》3)。
从发布时间来看,谈不上ISO/IEC 27000标准族借鉴了OECD的指导原则,我们之所以在这里单独拿出来讲,是想强调ISO/IEC 27000标准族在推广过程中所做的第一个努力,即尽量与更牛的人混在一起,显得自己也是牛人[2, 3]。在ISO/IEC 27001:2005的引言中,有这样一段话:
采用PDCA模型还反映了治理信息系统和网络安全的OECD指南(2002版)中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。
这段话听起来有点拗口,整体上很谦虚地表达了一个逻辑,就是ISO/IEC 27001:2005能够满足OECD指南的原则,如果OECD指南是战略层,那么我们在战术层面进行了落实。在ISO/IEC 27001:2005的附录中,还就标准条款与OECD提出的原则进行了映射。但是,最新版的ISO/IEC 27001:2013已经把上一段描述删除了,以现在ISMS的推广程度,刻意地“攀这种亲戚”意义也不大了。
3 快速以免费的方式推向市场
信息安全“最佳实践”指的是目前在用的ISO/IEC 27002,开发过程只用了6个月,其中3个月完成第一版草案,另外3个月完成最终草案。在完成初稿后,工作組在版权问题上产生一定的分歧,是免费获取还是收取一定的费用?这里就要讲到ISMS在推广过程中所做的第二项努力,为了使文档能够 被最快地获得,工作组决定以“实用规则”的形式发布,而不是英国标准的形式,这就避免了繁杂的过程,更重要的是文档可以免费获取,因此文档迅速流行,并得到实践领域的高度评价。
在互联网时代,尤其是中国的互联网服务,免费几乎是标配。回过头看,好像在当时这是一个很容易做的选择,事实上在20世纪90年代,这是一个很有远见的决定。在后续的15年内,英国的标准机构(BSI4))成为市场占有率最高的咨询和培训机构之一。这种情形,一直到最近几年,限于政策等因素5),国内市场占有率才有所改变。
4 利用成熟的标准开发团队
经过一个阶段的公开征求意见,这个关于“最佳实践”的文档成为BS 7799:1995,该文档与最初的草案几乎一致。BS 7799:1995发布后,许多顾问和会计公司对认证的想法产生了兴趣,因为在1995年左右,ISO 9000的质量管理体系认证已经比较深入人心。
1996年夏,BS 7799提交考虑成为国际标准,但是被驳回。为了促进国际化,1997年建立ISMS 国际用户联盟(IUG)6)。同年9月,英国工业与贸易部(DTI)建立BS 7799认可认证指导委员会。1998年2月,加入BS 7799-2。1999年4月,第一次修订后的BS 7799:1999发布。之上描述的过程如图1所示。
加入认证框架是ISMS在推广过程中所做的第三个努力,这使得该标准成为一个完整的产业链。这一过程的产生跟英国标准协会(BSI)的成功经验很有关系,他们在之前成功地推广了质量管理体系(QMS)。
在成为国际标准之前,澳大利亚和新西兰最早接受该标准为AS/NZS 4444,之后又被斯堪的纳维亚与中东国家所接受,当然最重要的是,成功说服了主要经济体的接受,例如,美国、日本和德国等国家认可BS 7799的认证,就是BS 7799-2。
2000年,BS 7799-1成为国际标准,并编号为ISO/IEC 17799:2000,由于ISO的标准最长5年需要重新评审,2005年,在内容没有太大变化的情况下,改版为ISO/IEC 17799:2005。
图1描述的主要是ISO/IEC 27001和ISO/IEC 27002发展过程,图2中重点描述了成为国际标准之后的版本演化过程。
2005年年底,随着BS 7799-2成为国际标准,ISO 27000标准族产生,在内容没有任何改变的情况下,ISO/IEC 17799:2005重新发布为ISO/IEC 27002:2005。这之后,ISO 27000标准族进入了快速发展时期。
5 小结
综上所述,我们从标准营销的角度讨论了信息安全管理体系(ISO/IEC 27000标准族)的产生与兴起过程,将其能够成功占领市场的原因归结为以下3点:
(1)在合适的时间推出的合适标准。最早版本的“最佳实践”,即ISO/IEC 27002的前身,发布于1993年,在当时,信息安全问题刚刚凸显,并没有太多的经验可以借鉴。尤其是对于最佳实践这类标准,经常是“怎么说,怎么对”。
(2)积极运用了恰当的营销方式。首先,文本本身是免费的,盈利主要依靠其他手段;其次,与OECD指南等结合,积极地拓展了标准的应用范围;最后,加入了管理体系产业链,而这个产业链已经运转有序,且已经存在大量专门从业人员。
(3)利用了推广团队已有的经验。由于起源于英国标准,之前已经有很成功的质量管理体系(ISO 9000标准族)的开发和推广经验,信息安全管理体系成为国际标准的过程相对比较顺利。
最近几年是ISO/IEC 27000标准族的开发和改版的高峰时期,但整体而言,定义和描述信息安全管理体系的,最基本的ISO/IEC 27000至ISO/IEC 27008,基本已经定稿。接下来关注的重点是分行业的应用,以及分领域的控制。最新的ISO/IEC 27000标准族进展情况,请参见参考文献[4]和[5]。
(注:本文仅做学术探讨,与作者所在单位观点无关)
信息安全管理系列之三十二
信息安全管理体系(ISO/IEC 27000标准族)不但是全球范围内应用最广泛的标准,也是目前国际标准化组织(ISO)发布的规模最庞大的标准族之一。关于这个标准族的技术细节介绍,可以参考《“十二五”国家重点图书出版规划 信息安全管理体系丛书》,在这里,我们重点探讨一个问题,在如此多的类似标准中,ISO/IEC 27000标准族为什么能够脱颖而出?
谢宗晓(特约编辑)
1 市场为什么选择了ISMS
国际标准化组织(ISO)发布的标准并不必然成功,有很多规模庞大且设计良好的标准都没有能够得到市场认可,例如,业界公认OSI七层模型设计精巧,逻辑清晰,但是结果我们都知道了,最终占据市场的是TCP/IP协议[1]。
ISO/IEC 27000标准族起源于“最佳实践”,作为流程类(或方法类)标准,盈利模式就是很大的困难。例如,为产品付费,用户大多都已经习以为常。某种方法,或者某个流程,到现在为止,盈利依然很困难。ISMS盈利的模式恰恰就是“卖手艺”,更通俗地讲,就是告诉企业如何一步一步地做信息安全。
在本文中,我们从标准营销的角度分析ISO/IEC 27000标准族在诸多标准中脱颖而出的原因。
2 积极与OECD指南相结合
经济合作与发展组织(OECD1))在1992年11月26日年发布了《OECD信息系统安全指南》2)。2002年,改版为《OECD信息系统与网络安全准则——发展安全文化》3)。
从发布时间来看,谈不上ISO/IEC 27000标准族借鉴了OECD的指导原则,我们之所以在这里单独拿出来讲,是想强调ISO/IEC 27000标准族在推广过程中所做的第一个努力,即尽量与更牛的人混在一起,显得自己也是牛人[2, 3]。在ISO/IEC 27001:2005的引言中,有这样一段话:
采用PDCA模型还反映了治理信息系统和网络安全的OECD指南(2002版)中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。
这段话听起来有点拗口,整体上很谦虚地表达了一个逻辑,就是ISO/IEC 27001:2005能够满足OECD指南的原则,如果OECD指南是战略层,那么我们在战术层面进行了落实。在ISO/IEC 27001:2005的附录中,还就标准条款与OECD提出的原则进行了映射。但是,最新版的ISO/IEC 27001:2013已经把上一段描述删除了,以现在ISMS的推广程度,刻意地“攀这种亲戚”意义也不大了。
3 快速以免费的方式推向市场
信息安全“最佳实践”指的是目前在用的ISO/IEC 27002,开发过程只用了6个月,其中3个月完成第一版草案,另外3个月完成最终草案。在完成初稿后,工作組在版权问题上产生一定的分歧,是免费获取还是收取一定的费用?这里就要讲到ISMS在推广过程中所做的第二项努力,为了使文档能够 被最快地获得,工作组决定以“实用规则”的形式发布,而不是英国标准的形式,这就避免了繁杂的过程,更重要的是文档可以免费获取,因此文档迅速流行,并得到实践领域的高度评价。
在互联网时代,尤其是中国的互联网服务,免费几乎是标配。回过头看,好像在当时这是一个很容易做的选择,事实上在20世纪90年代,这是一个很有远见的决定。在后续的15年内,英国的标准机构(BSI4))成为市场占有率最高的咨询和培训机构之一。这种情形,一直到最近几年,限于政策等因素5),国内市场占有率才有所改变。
4 利用成熟的标准开发团队
经过一个阶段的公开征求意见,这个关于“最佳实践”的文档成为BS 7799:1995,该文档与最初的草案几乎一致。BS 7799:1995发布后,许多顾问和会计公司对认证的想法产生了兴趣,因为在1995年左右,ISO 9000的质量管理体系认证已经比较深入人心。
1996年夏,BS 7799提交考虑成为国际标准,但是被驳回。为了促进国际化,1997年建立ISMS 国际用户联盟(IUG)6)。同年9月,英国工业与贸易部(DTI)建立BS 7799认可认证指导委员会。1998年2月,加入BS 7799-2。1999年4月,第一次修订后的BS 7799:1999发布。之上描述的过程如图1所示。
加入认证框架是ISMS在推广过程中所做的第三个努力,这使得该标准成为一个完整的产业链。这一过程的产生跟英国标准协会(BSI)的成功经验很有关系,他们在之前成功地推广了质量管理体系(QMS)。
在成为国际标准之前,澳大利亚和新西兰最早接受该标准为AS/NZS 4444,之后又被斯堪的纳维亚与中东国家所接受,当然最重要的是,成功说服了主要经济体的接受,例如,美国、日本和德国等国家认可BS 7799的认证,就是BS 7799-2。
2000年,BS 7799-1成为国际标准,并编号为ISO/IEC 17799:2000,由于ISO的标准最长5年需要重新评审,2005年,在内容没有太大变化的情况下,改版为ISO/IEC 17799:2005。
图1描述的主要是ISO/IEC 27001和ISO/IEC 27002发展过程,图2中重点描述了成为国际标准之后的版本演化过程。
2005年年底,随着BS 7799-2成为国际标准,ISO 27000标准族产生,在内容没有任何改变的情况下,ISO/IEC 17799:2005重新发布为ISO/IEC 27002:2005。这之后,ISO 27000标准族进入了快速发展时期。
5 小结
综上所述,我们从标准营销的角度讨论了信息安全管理体系(ISO/IEC 27000标准族)的产生与兴起过程,将其能够成功占领市场的原因归结为以下3点:
(1)在合适的时间推出的合适标准。最早版本的“最佳实践”,即ISO/IEC 27002的前身,发布于1993年,在当时,信息安全问题刚刚凸显,并没有太多的经验可以借鉴。尤其是对于最佳实践这类标准,经常是“怎么说,怎么对”。
(2)积极运用了恰当的营销方式。首先,文本本身是免费的,盈利主要依靠其他手段;其次,与OECD指南等结合,积极地拓展了标准的应用范围;最后,加入了管理体系产业链,而这个产业链已经运转有序,且已经存在大量专门从业人员。
(3)利用了推广团队已有的经验。由于起源于英国标准,之前已经有很成功的质量管理体系(ISO 9000标准族)的开发和推广经验,信息安全管理体系成为国际标准的过程相对比较顺利。
最近几年是ISO/IEC 27000标准族的开发和改版的高峰时期,但整体而言,定义和描述信息安全管理体系的,最基本的ISO/IEC 27000至ISO/IEC 27008,基本已经定稿。接下来关注的重点是分行业的应用,以及分领域的控制。最新的ISO/IEC 27000标准族进展情况,请参见参考文献[4]和[5]。
(注:本文仅做学术探讨,与作者所在单位观点无关)