ISO/IEC 27000:2022在数据安全治理体系建设中的实践价值|当前看点

专家简介

关中华：DSI数安智库专家，安徽辰图大数据科技有限公司副总经理。15年安全从业经验,2019年推动完成了数据安全治理体系在城市级政务场景下的落地成功。当前主要领域方向为跨向业务的数据安全落地及仿真数据反向合规方向研究。

ISO/IEC 27000体系于去年完成了版本更新，新标准旨在强化组织的信息安全能力、支撑组织数字化战略、减低信息泄露的风险，强化品牌信誉和组织韧性，以适应全球数字化演变和新的商业实践。

(资料图片仅供参考)

ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》更新为ISO/IEC 27001:2022 《信息安全，网络安全与隐私保护-信息安全管理体系-要求》

ISO/IEC 27002:2013《信息技术-安全技术-信息安全控制的实践准则》 更新为ISO/IEC 27002:2022 《信息安全，网络安全与隐私保护-信息安全控制》

作为国内广泛应用的信息安全管理体系框架，此次转版是否能跟上国内数据安全各种复杂需求场景的脚步，为组织数安建设发展，提供更好的优势补充，是笔者关注的重点。

首先先简要来看转版的变化：

新旧版本最大的差异是框架层次上，由旧版三层降为新版二层。将旧版14项安全主题抽象场景转变为组织、人员、物理、技术四大主题对象控制域，避免了控制域与控制目标层级不清晰问题，通过控制属性使得控制域对应操作更加容易。同时将原抽象出来的控制目标与控制点进行优化整合后，形成单层控制目标。

其次显著的差异，是控制措施细则上，转版后有了较大幅度的增加，笔者做了指标转化后，相较于旧版指标，增加了439项，翻一倍还多。

另外前文提到的控制属性及对应视图，则为组织信息安全控制识别和资源配置提供了更为简易、直观的参考。

新版中数据安全有哪些体现？

ISO/IEC 27000中的信息是一个相对广义的概念，涉及文字、数字、图像、知识、概念、想法、品牌，这里笔者所指数据仅限定于数安法及个信法等我国法律中的数据定义，因此，标准中相关通用网络安全及广义信息安全控制指标不在本文中单独体现，但其依然是数据安全治理体系能力建设中非常重要的基础控制项。

由上图中所示，可较为直观反映出新版93项控制目标中，数据安全涉及项有33项。本文选择国家标准《GB/T 37988-2019信息安全技术 数据安全能力成熟度模型》“以下简称DSMM”作为数据安全治理体系参考标准，对控制目标进行关系映射，因其与ISO/IEC 27000体系建设框架有相通性。同时，DSMM所提出的基于数据全生命周期能力建设方法也是业内数安建设的普遍共识。

DSMM涉及30项PA域，包括通用能力和生命周期能力，ISO/IEC 27002与之对应的的关系如下表所示。除DSMM采集阶段因为涵盖数据安全中较为特殊的数据质量安全控制场景，未在ISO/IEC 27002中覆盖之外，其余所有PA域，均有相应控制目标与其对应，体现出ISO/IEC 27002体系架构设计的完整性。

值得注意的是，ISO/IEC 27002中还覆盖一些DSMM未涉及或未明确归类的控制目标。这些差异性控制目标，在组织实施数据安全治理体系建设中，是否有其存在的必要性，对数安体系完整性是否存在积极的意义？我们在下文做进一步分析。

注：若ISO/IEC 27002中单一控制目标中所有控制项均未单独强调数据安全，则归为“基础控制目标”，只要其中有控制项单独强调，则归为“数据安全控制目标”。

差异性控制目标的价值分析

数据安全控制目标下不能明确对应到DSMM的控制目标共有11项，笔者逐项对控制目标中数安控制点及控制项进行整理后，结合其特定，对控制项在DSMM实践中的扩展性价值进行了分析。

信息传递

控制项价值：DSMM数据交换包括PA14导入导出、PA15共享、PA16发布、PA17接口使用等限定性场景，但信息传递场景是宽泛的，以此控制项有助于对数据传递盲区进行识别和评估。

管理ICT供应链中的信息安全

控制项价值：DSMM PA24数据供应链安全未涉及ICT供应链，但其重要性在数据安全保护中仍是一个相对重要的环节，此控制项是对供应链数据安全完整性的补充。

收集证据

控制项价值：DSMM未对司法取证能力进行指引，但事故取证是数安寻求司法协助，挽回损失和追责的关键动作。同时数据跨境传输下的跨境数据取证合规问题，伴随数字经济发展，将成为新常态。

知识产权

控制项价值：DSMM PA02 数据采集安全管理未涉及知识产权层面，知识产权保护对数据权属、数据定价及交易有十分积极促进作用，也是当前数据要素化合规进程中的关键控制项。数据产权合法性是一切数据价值化的基础。

物理安全监控

控制项价值：DSMM监控相关过程域包括 PA13 数据处理环境安全和PA27 监控与审计，只涉及系统及应用操作行为的监控，物理环境监控是对图谋不轨人员最直观的威慑，弥补信息技术监控手段下可能的监控盲区等不足。同时物理区域监控的隐私安全法律风险，是传统安防在数据安全新场景下的新风险，亦应充分评估。

在安全区域工作

控制项价值：DSMM未涉及对控制区域人员行为的约束限制，此控制项可以做为PA21 组织和人员管理中的限制措施的补充，强调人员行为管理在数据安全中的重要作用。

设备安置和保护

控制项价值：涉密数据处理设施安全处置具备较广泛的共识，但涉敏设施普遍认知不足，一方面因为数据资产分类分级工作未落实，无法准确识别，另一方面，涉敏的监管控制力度相对较弱。此项的提出是对DSMM涉及此类设施的安全保护强化。

安全开发生命周期

控制项价值：软件全生命周期开发安全是数据安全控制中原生安全的控制方法，在DSMM中无针对软件开发安全的数据安全能力建设控制过程域，此项对研发中数据安全的重要性及源码、软件配置等组织重要数据安全保存措施进行了强化。

外包开发

控制项价值：DSMM在PA28 鉴别与访问控制中只对外包人员的访问权限控制进行了指引。而供应链安全在ISO中是较为重要的控制目标，外包开发的供应链服务因其直接关系业务，且涉及软件中个人隐私数据的合规监管，应受数安风控和合规的双重约束。

开发、测试和生产环境的分离

控制项价值：环境分离对数据安全控制，具有极其重要的意义，常在网络安全控制标准中体现，其对敏感数据授权使用控制及数据操作风险隔离有着积极作用。

审计测试期间信息系统的保护

控制项价值：DSMM PA27 监控与审计中约定了审计对象及审计策略，而审计行为自身的安全存在一定监管盲区，审计人员往往能够借岗位职责之便，接触到组织敏感数据，存在较大的数据泄露隐患。此项的提出，为审计策略执行和审计人员管理扩充了更全面的限制性要求。

管理体系框架对数安治理体系落地的参考意义

ISO/IEC 27001转版变化并不明显，基本延续了旧版的框架性要求，由此也侧面证明此管理体系框架的成熟度非常的高。

下图笔者将数据安全治理实践路径（上）和ISO/IEC 27001管理体系路径（下）做了关系映射，其中数安路径为笔者在长期数安治理项目落地实践下总结的较为合理的行动管理路径。从相关性映射箭头，可以看出与ISO/IEC 27001管理体系路径的结合性非常高，本质上都遵循了PDCA循环迭代的管理方法。

这里单独讲下，ISO/IEC 27001管理体系路径中，将“领导力资源争取”“实践资源支持”“绩效评估”独立出来，有其对安全体系建设成败的较为深刻的思考。从数安治理实践来看，同数据治理一样，是基于业务的多部门间资源统筹和协同，此模式决定了其一把手工程的属性。

领导力资源争取表示了组织高层的共识和支持，是决定成功与否的最关键的条件。实践资源支持则代表了配套资源的到位程度，是组织基层形成合力的基础。绩效评估则是治理战略达成的有效驱动力，此在数安治理中多应用于运营阶段，以内审、检查等量化指标进行考核评价，建立各相关方岗位内驱力。

因此对于数安治理体系实践，亦能通过ISO/IEC 27001进行辅助性指引，以其做为体系架构的中间件，更好的衔接网络安全管理体系，以发挥资源效率，促成实践落地成功。

笔者注：因每个人对数安的理解角度不同，本文内容中的控制点及控制项，具有非常强的主观性，不免存在理解偏差或错误等情况，仅供业内同行参考使用。

声明：本文仅代表企业及专家个人观点，不代表本公众号及其运营单位意见或立场。

标签：