第二节网络空间安全立法的技术基础与逻辑起点——国际标准ISO/IEC 27032:2012

上QQ阅读APP看书，第一时间看更新

第二节网络空间安全立法的技术基础与逻辑起点——国际标准ISO/IEC 27032:2012

一、ISO/IEC 27000系列标准概述

国际标准ISO/IEC 27032:2012的全称为《信息技术-安全技术-网络空间安全指南》（ISO/IEC 27032:2012 Information technology–Security techniques-Guidelines for cybersecurity），其属于信息安全管理体系（Information Security Management System，简称ISMS）国际标准族（即ISO/IEC 27000系列标准）。国际信息安全标准化组织ISO/IEC JTC1 SC27/WG1（国际标准化组织/国际电工委员会信息技术委员会安全技术分委员会/第一工作组）是专门负责ISMS标准族研究和制定的机构，其主要任务是负责ISO/IEC 27000标准族标准的制定和维护。

ISO/IEC 27000标准族自2005年开始制定，是国际标准化组织专门为信息安全管理体系建立的一系列相关标准的总称，已经预留了ISO/IEC 27000到ISO/IEC 27059共60个标准号。该标准至今已涵盖21项标准，形成了比较完整的标准体系。ISMS标准族针对不同信息安全管理需求的用户提供了不同的标准和参考。

从整体内容角度分类，ISO/IEC 27000系列可以分为四大部分。第一部分是信息安全管理的基础概念和具体要求，主要包括ISO/IEC 27000到ISO/IEC 27005。第二部分是信息安全管理认证和审核标准，主要包括ISO/IEC 27006到ISO/IEC 27008。第三部分主要针对专门行业和领域的信息安全管理提出针对性的要求。第四部分则是由ISO技术委员会TC215单独制定的标准，而并非由ISO和IEC共同制定，主要是指ISO 27799以及一些仍处于草案阶段的成果。

1985年美国国防部制定并颁布了可信计算机系统评估准则（TCSEC），自此，其他各国纷纷根据自身的国情相继制定了一系列信息安全标准。英国标准协会（BSI）1995年制定的信息安全管理标准BS7799正是ISO/IEC 27001的前身。BS7799标准由英国贸易工业部于1993年立项，并于1995年首次出版BS7799-1:1995《信息安全管理实施细则》。BS7799主要是为了工商业系统的大、中、小企业的信息安全提供统一的标准规范。BS7799主要由两个部分组成，分别为BS7799-1《信息技术-信息安全管理实施细则》和BS7799-2《信息技术-信息安全管理体系规范》。其中，BS7799-1主要为相关组织和人员在信息安全领域提供实施规则；而BS7799-2则提出了对建立信息安全管理体系的具体要求。2000年，ISO通过了对BS7799-1:1999的认定，使其成为国际标准ISO17799。2005年ISO/IEC/JTC1/SC27正式制定了ISO/IEC 27001:2005，并取代了BS7799-2，使得BS7799系列标准更名为ISO/IEC 27001系列。

ISO/IEC 27001《信息技术-信息安全管理体系规范》确立了建立信息安全管理体系的要求，同时要求实施有效的信息安全风险管理，以实现组织业务的可持续性发展。王凯令：《电力信息管理系统中统一身份认证技术研究及应用》，上海交通大学硕士学位论文，2010年。从具体措施上看，27000系列标准整体采用PDCA“规划-执行-控制-改进”的循环流程模型。为最终实现保障信息安全的目标，ISO27000标准族整体从以下十一大控制领域出发保护信息安全：安全方针、安全组织、资产分类与控制、人员组织、物理与环境安全、通信与运行管理、系统开发与维护、访问控制、安全事件管理、业务连续性管理、符合性。

ISO/IEC 27032:2012是由ISO/IEC JTC1（信息技术）/SC27（IT安全技术）制定，并于2012年7月15日正式公布谢宗晓、张菡：《网络安全指南国际标准（ISO/IEC 27032:2012）介绍》，载《中国标准导报》，2016年第10期。。该国际标准的具体结构，如图1-2 ISO/IEC 27032:2012内容框架图所示，共有十三章的正文内容和三章附录。

图1-2 ISO/IEC 27032:2012内容框架图

二、借鉴ISO/IEC 27032:2012的立法意义

由上图可见，国际标准ISO/IEC 27032:2012在其相关章节中已对网络空间安全领域基础概念的定义做出了详细的区分和阐述。作为国际公认的权威标准，其对网络空间领域各相关术语的定义可以为我国进一步完善网络空间安全法律体系的建设做出规划和指引。我国现有的相关法律政策中对于网络空间安全相关概念的表述存在严重的混淆，若不能从概念上严格界定不同术语之间的内涵和外延，这将直接导致后续对相关安全的保护无从着手。只有明确了不同概念之间的区别，才能在严密的概念体系框架下具体讨论如何保护其中某种安全。我国需尽快厘清相关概念之间的区别，正本清源，以为后续建立完善的保护体系框架打下坚实的基础。基于此迫切需求，了解并借鉴ISO/IEC 27032:2012对网络空间安全领域相关术语的使用则显得尤为重要，毕竟这是立法需要勇敢迈出的第一步。