7月23日，在由企業網D1Net、信眾智(CIO智力輸出及社交平臺)主辦的“2022全國CIO大會”上，上海非夕機器人科技CISO劉歆軼發表主旨演講《信息安全管理體系標準升版說明》，并介紹了他如何規劃、部署ISO信息安全管理體系的實踐經驗，以及今年ISO27001升級版本之后的變化與影響。

現場演講內容整理如下。

首先分享兩個關于安全認證方面的新情況。最近兩年，頒布的安全法規越來越多，因此涉及合規尤其是跨境數據傳輸和個人隱私相關信息的企業要格外關注。在學習數據保護相關內容并參加DPO考試認證時發現，參加認證的80%是律師，各大律所開始搶占IT人的地盤，也值得注意。

關于安全領域的認證考試，以CISSP認證為例，目前全球大概有15萬持證人員，但從2003年第一次在中國舉辦考試至今，國內只有4100人通過認證。因為這類考試要考6個小時，從早上9點考到下午3點，中間不休息，難度非常大。還有一部分是對于組織的認證如ISO27001和ISO2000系列的認證。而愿意組織認證的行業企業主要有兩個，一個是金融行業，另一個是互聯網行業，這些都是有強制要求的。尤其是金融行業包括證券、銀行、保險，證監會、人行、銀保監會都有非常嚴格的安全監管要求，基本上每個月都會派審計師去做審計，所以金融企業對信息安全投入非常大。

非夕機器人的安全規劃邏輯

Flexiv(非夕)是一家全球技術領先的AI機器人公司，專注于研發、生產集工業級力控、計算機視覺和人工智能技術于一體的自適應機器人，為不同行業客戶提供基于非夕機器人系統的整體、創新性的解決方案和服務。2016年非夕在硅谷成立，核心創始團隊來自斯坦福大學機器人和人工智能實驗室。2017年在上海成立上海非夕機器人；隨后又在北京、深圳等地區設立辦公室，在佛山建有工廠，主要制造手臂形狀的自主式柔性機器人。“非夕”是Flexiv的音譯，也寓意著“不是夕陽產業”，也就是朝陽產業。

公司最重要的是研發能力，研發流程基本上是從國際領先的研究機構獲取到一些新的研發資源和動態，在硅谷研發中心做轉換，交由國內進行實現和生產，所以公司研發數據安全是信息安全管理工作的重中之重。

我加入公司之后，開始做一系列相關安全規劃工作。整體安全規劃是依托于整個公司戰略來制定，從企業戰略到安全架構，最后到安全建設，用這樣一種思考邏輯來規劃。

通過跟公司管理層訪談之后，梳理出公司的大概情況。可以參考業界比較認可的通用信息安全框架，如下圖。底層的安全技術參考IATF“三保護一支撐”的概念，即保護安全的計算環境、區域邊界、通訊網絡以及支撐性的基礎設施。

上層的安全運營主要是日常的風險管控、監控分析、安全運維及應急響應工作。而安全技術和安全運營兩部分都是需要安全管理作為指導。

信息安全應該以自上而下覆蓋方式推進，到底要做什么，往哪個方向去，確定好了之后，通過技術和運營加以實現，達到其目標。

基于整體信息安全框架，首先要梳理安全管理層面的問題。當然也考慮到一定因素，比如IT成熟度、資金投入等情況合理推進。可以循序漸進，先把整體框架搭建起來，再慢慢去填充。

標準ISO安全管理建設的四個階段

信息安全管理體系(ISMS)可以參照ISO/IEC27001，它的架構相對比較全面、穩定。涉及內容基本涵蓋了組織主要的安全工作，附錄的14個領域，包括方針策略、組織資產、人力資源、物理安全、通訊網絡等領域;一共設定了35個控制目標、114個控制措施。

標準ISO管理體系搭建過程，即信息安全管理建設具體分四個階段，見下圖。

首先是啟動和計劃階段。要做一些整體管理范圍的確定、工作計劃、前期溝通，尤其高層溝通，整個信息安全工作要依托企業安全戰略，在風險評估里，確定風險準則一定是由公司最高管理層確定的。

其二是差距評估和風險評估階段。依據ISO27001準則，根據公司現狀做整體對比，知道哪些地方有欠缺，再通過風險評估來評估哪些是重要的，哪些是高、中風險的，找出重點、區別出優先級，就可以制定出信息安全建設工作的三年規劃或五年規劃，知道要做哪些事情，知道按什么順序去做。

其三是體系建設階段。按照之前確立的計劃，開始設計整體管理框架、制度建設、制度評審、審批發布。制度發布之后，具體落地則經常需要技術層面做支撐。

最后是試運行及內部審核階段。在試運行階段，發現問題還可以再做相應調整，再去整改，試運行的末期再做整體的內審、管理評審、改進等一系列工作。

下面就幾個重點的工作稍微做一下詳細說明。

首先是差距評估。如何評估組織當前的信息安全管理現狀呢?可以在14個領域分別給出不同的情況分析。在ISO27000體系里，一般從兩個層面做評估，一個是管理制度層面，一個是實際執行層面。具體會分出四個象限，如果制度和執行都做得比較好就是綠色，沒有差距；如果制度做得不好，但實際執行還行，但沒有成文，就屬于淺綠;如果制度寫得挺漂亮，實際上沒有做，就變成黃色；如果制度和執行都比較弱，但至少還有，就是橙色；如果完全沒有考慮到這兩個方面，就是紅色。114個要求對比下來，就會形成一個整體的現狀圖，可以讓管理者一目了然地知道大概哪個方面有什么樣的欠缺。

其次是風險評估。風險評估是所有安全工作的起點，只有知道哪些環境有風險，風險的高低，風險處置的優先級順序，才知道后一步該怎么做。風險評估的方法可以基于ISO27005或ISO31000。一般是先識別信息資產，信息資產包括數據資產、軟件資產、硬件資產、人員資產和服務資產；再去看外界有哪些威脅，內部有哪些缺陷和漏洞，以及當前已有的措施是否生效；分析清楚之后進行風險定級，劃分高、中、低風險；根據風險準則決定是否處理，怎么處理；處理之后再做一輪殘余風險評估。

根據五類不同資產梳理出哪些是高風險、哪些是低風險，可以采用餅圖和柱狀圖(見下圖)的方式，讓大家能夠看清楚需要在哪個方向發力。

策略為先，制度落地

很多人覺得“方針策略特別虛”，但實際上確實是必不可少而且至關重要的。安全方針指引公司的安全工作到底往哪個方向發展、引領我們后續到底怎么樣開展工作。比如上海非夕目前的安全策略是“全面管理、預防為主、分級保護、合規審慎”，明確了信息安全的工作方向和范圍。安全方針確定下來之后，后面的建設工作一定要跟著方針策略走。具體可以細化到年度，比如今年的策略是防止內部數據泄露，因此工作的重點就可能是漏洞補丁管理，數據防泄漏，員工桌面管控等;如果明年策略改成防御外來入侵，那工作方向可能要轉向防火墻、WAF、威脅情報、態勢感知等。總之，方針策略指導我們具體往哪個方向跑，因此策略一定是非常重要的。

有了策略之后，就要有組織，即到底誰來干這些活兒。一般會分成幾個層級，首先是成立信息安全領導小組，一定是公司最高管理層負責；然后要建立一個安全管理團隊，一般都是IT人員、安全人員、核心部門負責人組成，主要負責制定一些具體要求；再往下是信息安全執行團隊，可以在每一個部門都設立安全專員，即接口人，他們負責把整個安全體系慢慢往下推，推到每個部門里面去；最后是全員職責，即公司每一個員工都是信息安全的責任人，要對他們日常工作中的安全負責。

對于管理體系的文件層級，一般分成四個層級：第一級是方針政策；第二級是程序，具體提出哪些管理要求；第三級是管理規范，包括具體如何執行，操作步驟，表單模板等；第四級是記錄文檔，記錄到底有沒有按照要求去執行，為事后審計提供證據。

管理體系制度建設，一般按照以下程序順序進行：初稿設計、對各個業務部門進行訪談和小組討論、相應制度的修改、小組評審、集中評審、定稿，再審批發布。

按照整體框架在哪個領域分別建立哪些相應管理制度，每個公司都不一樣，具體會按照業務和IT運維以及細化程度，建立一個制度清單。

每個制度中都會有相應的工作要求，我們可以把這些要求匯總在一起，形成一個信息安全管理體系年度工作計劃，定期進行回顧和檢查，并設立有效性測量指標。每年至少組織一次內部審核，把前面做的所有事情全都做一遍梳理，看看到底還有哪些缺陷。內審結束之后還需要進行管理評審，召開一個管理評審會，讓公司管理層了解一下到底今年信息安全體系運行狀況怎么樣，還有方針政策是否要調整，每年的安全工作回顧，還有相關利益方的安全需求有沒有新的變化，外界的環境有沒有新的變化，一切變化都要在管理評審會上提交，供管理層評價。

內審發現的不符合項會涉及到很多改進計劃，這些改進計劃需要管理層批準，包括是否要找人、給錢、給時間，哪個做、哪個不做、哪個推遲、哪個取消等，都要在管理評審會上敲定。

ISO27000變化解讀

ISO27000最早是英國標準協會(British Standards Institute，BSI)制定的信息安全標準。目前已經成為信息安全管理方面最受推崇的國際標準；由信息安全方面的最佳慣例組成的一套全面的控制集。其中，最主要的是27001認證標準，一般都按照這個標準來審核。

整個體系包括27001的體系要求，27002的實用規則，27003的實用指南，還有27006、27007對于審核機構的要求、認證等。另外27701是關于個人信息保護的管理要求，很多互聯網公司已經通過了27701。目前ISO27000家族系里所有的標準清單，紅顏色的都可以認證。

國際標準化組織(ISO組織)遵循所有標準每隔4年進行一次回顧的原則。今年是ISO27002文檔發生了改版情況。按照ISO27000的慣例，一般都是先更新ISO27002，再更新ISO27001。

這次改版變化蠻大，有必要分享一下。

1.標準名稱的變化：這意味著內容會產生很大變化。

原來ISO27002的名字叫做“信息技術-安全技術-信息安全控制實用規則”，改版以后叫做“信息安全、網絡安全和隱私保護-信息安全控制”。新增了網絡安全和隱私保護的內容。很多時候這些名詞的概念容易混淆，比如數據安全、網絡安全、信息安全到底有什么區別？邊界在哪里?

整體來講，信息安全是大框，什么都能裝；信息資產包含數據、軟件、硬件、服務和人員，所以數據安全管理作為信息安全管理的一部分，但同時數據安全是作為數據治理的一部分，內容有交疊，也不完全包含。

信息安全強調的是對于信息資產的保護，也就是CIA三個屬性，而網絡安全強調的是動態的攻防和對抗，IPDRR的過程，這兩個角度不一樣。原來ISO27000是基于信息安全的架構來做描述的，現在增加了網絡安全，即強調對抗的內容。

2. 整體結構：從原來18個章節變成現在8個章節和2個附錄。

核心內容章節由14個縮減成4個：組織控制、人員控制、物理控制和技術控制;也就是說原來我們常說的14個領域，現在只有4個框架了。

3.內容變化：術語定義、控制分類、控制數量、控制屬性、控制視圖都做了相應變化，尤其增加了屬性，視圖是之前沒有的，將來會有新的變化。

關于標準內容、術語，原來是直接引用了ISO27000，現在增加了很多新的術語內容。

控制域從原來14個域變成了4個主題，這就造成我們實際使用的時候沒有辦法用主題來分類。原來用14個域來劃分，每一個域有1~2個、2~3個控制要求，比較好管理，現在變成4個主題，比如某一個主題里面會有37個控制要求，根本沒辦法用它來細分分類，這就會給我們造成困擾。所以新版標準建議我們用屬性視圖做細分。

新版標準增加一些控制措施，也做了一些延伸，比如之前沒有威脅情報、云安全;現在特別提到連續性要求、物理安全監控、配置管理等;增加了個人信息的隱私保護等內容;還增加了其他監控活動、網絡過濾、安全編碼等。

增加了控制屬性視圖。所有控制要求，每一條要求都要分屬于不同屬性，比如控制類型分成預防、檢測、糾正，安全屬性CIA(保密性、完整性、可用性)跟哪個相關，網絡安全屬性按IPDRR架構，屬于哪個階段；運營能力與之前14個領域非常像，變成了15個域，可以進行映射；安全域屬性包含治理、保護、防御、響應。

對照下圖，如果之前按照14個域來劃分，現在可以轉換成運營能力15個域，有嚴格對應的關系，已經按照2013版標準開展了工作的，此次升版也不用改動太多，而是直接調整一下，放到新的運營能力里面就可以了，不會產生太大的變化。

新版增加了如此之多的屬性視圖，是為了方便不同的組織按照不同的視角和習慣，選擇不同的視圖去篩選比如強調網絡安全，就采用網絡安全屬性作為整體視圖去看，到底這些安全控制在IPDRR的哪些方面；如果習慣信息安全的視角，就按照CIA屬性來看。組織可以用一些工具，把哪一條屬于哪個控制視圖、安全屬性視圖、網絡安全視圖進行篩選，當然也可以用一些工具在線上做或多維表格都可以，沒有的話，用Excel也可以。

總之，ISO/IEC 27002不是認證標準，是一個實踐標準，最后會引起ISO/IEC27001的升級。按照ISO內部的說法，在今年10月份左右，ISO/IEC27001就會升級到ISO/IEC 27001:2022版。

對于企業來講，如果還沒有做ISO27001認證，可以有兩個選擇，一是繼續按照老版標準做準備、去認證，等到2022新版發布之后再去升級；二是直接等到2022新版發布之后，一次性按照新版去認證。兩種路徑都可以，看企業目前準備的情況如何。一般升級版都有三年周期讓企業慢慢調整。

升級對企業安全管控的實際影響有多大呢？首先是信息安全管理的方法論不會變，都是基于風險的信息安全管理體系；其次新版涉及的范圍更加廣泛，增加了網絡安全、隱私保護的內容；第三，兼容性也更強，可以通過不同視角、分別按照企業喜歡的方式去展現所有的控制方法。