直播回顾 | BSI&安在系列专题研讨（第一期）：安全管理新范式

11月8日，BSI联合安在围绕新版ISO/IEC 27001举行系列专题研讨线上直播会，内容涵盖供应链安全、安全运营、数据安全等等，专题研讨直播活动将贯穿11月和12月，并将于12月召开线下交流会。

本期直播即为系列直播的第一期，话题为“安全管理新范式。”此次受邀嘉宾有BSI亚太区首席数据治理标准专家潘蓉、安言咨询副总经理钱伟峰、SC27注册安全标准专家陈恺博士、亿咖通中国区信息安全部总监张玮敏。此次直播由BSI战略业务发展总监郭玥婷担任主持。

潘蓉表示，新版ISO 27001距离上一版的发布已经跨越了近10年的时间，因此，第一个变化是随着技术的逐渐发展带来的。新版ISO 27001新增了11个控制项，其中有7个与技术相关。例如数据的删除、数据的屏蔽、网页的过滤、数据的防泄漏、安全的编码、用户终端的安全配置管理等等，这些控制项是随着技术的更迭增加的。

第二个变化来自业务的影响，业务的逐渐数字化产生了很多新兴的技术，例如云，云打破了传统的网络边界；例如零信任，零信任支撑了远程、移动办公等场景。因此，在新版ISO 27001中提出要适应业务的变化，包括为业务数字化指定相应的变革计划，也就是在业务创立之初就要考虑相应的安全风险和支撑业务的创新。

第三个变化来自合规的影响。新版ISO 27001正文中提出了很多要求，例如要加强记录流程的规范性、要求文件化的留痕。相较于旧版，新版ISO 27001特别强调了这些的原因是在数字经济的社会中，特别依赖数字技术，很多国家关于网络安全、数据安全、个信保护等都纷纷立法，为了支撑这些法规，就要注意留痕。新版ISO 27001要求组织内部进行系统化留痕就是为了适应法律法规的要求。虽然旧版在合规域中也提出了要在控制措施中关注个人信息的保护、组织记录的留存以及知识产权的保护，但新版ISO 27001更加强调了要在数字经济的环境下，注重宏观的网络安全带来的风险以及隐私保护等相关法规所强调的内容。

另外，新版ISO 27001的标题也发生了变化，一方面拓展了信息安全从业人员的工作职责范围，同时也奠定了新版ISO 27001作为网络安全和隐私保护的基础框架。新版ISO 27001从结构和呈现形式也更加适合用户使用，它将控制项分为组织、物理、技术、人员，让组织在实际实践中更好的划分需要落实的控制项，并能够细分职责。

最后，在新版ISO 27001中，控制项增加了一个属性的概念，其背后的原因是各种各样的方法论。比如IPDRR这个方法论就来自于美国国家标准与技术研究院。所以，新版ISO 27001还涉及到多方协调、多组织观点和视角。以上就是从宏观角度来看新版ISO 27001的变化。

陈恺博士表示，虽然新版ISO/IEC 27001:2022和旧版（ISO/IEC 27001:2013）相隔近10年，但是本次发布的标准主体是没有改变的，只是对附录A的安全控制措施按照ISO/IEC 27002:2022的内容进行了修改。如果讲变化，则是新版ISO/IEC 27002:2022所带来的变化，它是信息安全管理体系标准的一个重大变革，从标准组织和产业界解读来看，ISO/IEC 27002是为了适应数字化转型以及网络安全威胁的变化而做出的修订。而本次新发布的新版ISO/IEC 27001:2022的主体标准内容没有变化的原因，是标准组织制定标准的规则所决定的。

钱伟峰表示，首先由于网络空间的整体边界在不断延伸，各领域之间的边界逐渐被打破甚至融合。从新版ISO 27001的变化中可以看到边界的扩展，同时在其新增的几个控制项中可以看到包括云计算、数据安全等等都将成为未来的趋势。ISO 27013是指导2013版的ISO 27001和2011版的ISO 20000这两个体系融合的标准，由于当时一些特殊的背景，所以ISO 20000的结构和ISO/IEC的标准架构不太一致。2018版本的ISO 20000的正文是按照高阶结构制定的。ISO 9000和ISO 22301在高阶结构是一致的，在此基础上，企业在IT领域包括原有的安全、IT服务管理、业务连续性等各类管理体系的融合和推进变得更具可能性，因为这些标准在高阶结构的层面上达成了一致。

第二个趋势是未来ISO 27701也可能发生变化，因为ISO 27001和ISO 27002的结构都已经发生变化，基于ISO 27001延伸的ISO 27701也势必会发生改变。以往各个标准和管理领域上有各自的特点，耦合度角度，但从现在的趋势来看，各个标准和网络安全工作的耦合度很高，因此未来标准可能会更加贴合实际工作。

第三个趋势是对ISO固有认知的变化。新版ISO 27001对安全工作的各个方面都有提及，但例如数据安全、开发领域的数据保护等内容并没有特别详尽。因此，从安全工作的角度来看，需要关注更多的广义上与安全密切的技术和管理变化趋势，而不是停留于传统的安全管理、安全技术或是这两年热门的安全运营。

张玮敏表示，近年来网络安全的新趋势主要有三点：第一是边界模糊化，第二是安全能力化或能力方案化，第三是安全运营平台化。首先是边界模糊化，网络安全边界从过去逐步转化为软件定义边界，和车联网行业有些类似。此前，只有金融行业才会有安全部门，当时的安全防护体系是基于防护墙、堡垒机等等，称之为堡垒式防御。到了2016年互联网崛起，各大头部企业开始提出纵深防御，将安全能力从网络层下沉到主机层，即便如此，这些都是围绕着网络边界产生的防护能力。随着5G时代的到来以及端上计算能力的突破，包括疫情的推波助澜，安全边界开始模糊，安全防护能力也要从网络层触达到软件端。

其次是安全能力化或是能力方案化。近年来无论是厂商还是企业，单一的安全能力已经远远不能满足于当前的安全防护要求，同时在多年积累的能力和技术的推动下，目前已经从点到面形成了行业案例或解决方案。例如过去企业会做SDLC，现在都是选择DevSecOps和统一的安全开发平台，这点和新版ISO 27001非常契合。过去企业可能在做DLP或是杀毒，现在企业基本都在向零信任体系靠拢，而这些能力最终都会赋能于业务和产品。

最后是安全运营平台化。新版ISO 27001强调了企业安全运营的能力，此前更多的是强调安全能力、产品建设、体系建设等等。但是真正决定企业安全防护能力的不是产品，也不是安全检测能力，而是企业的安全运营能力的成熟度。资产识别和防护能力决定了企业防护能力的上限。检测响应和恢复，也就是安全运营能力决定了企业安全防护能力的下限。实际上，上限和下限同样重要，但是传统安全的水位线依靠的是下限，也就是安全运营能力。

张玮敏表示，组织将会面临新变化、新场景和新挑战。新变化是企业无论在内部环境还是外部环境，唯一不变的是变革。在一个高速发展的时代，变化是无时无刻不在发生。如何适应新变化是企业需要考虑的重点。新场景以车联网行业为例，过去用户只是满足于听音乐和看导航，而现在，汽车需要满足360度无死角的感官体验，未来车路协同场景也是信息安全需要面临的场景和挑战。车路协同指的是物理上的信号灯信息和导航APP上的信号灯信息之间的协同，这种信息的协同不是一家厂商或一家公司能够做到的。新挑战也是新机遇，安全将会成为企业和产品的核心竞争力。

从企业的角度来看，未来将会关心信息安全的效果、安全与业务的关系以及投入产出比。安全能力的效果可以从企业安全运营能力能否平台化、可视化、自动化等方面来考量，还可以通过ISO 27001的外审以及渗透测试、攻防演练来共同度量企业的安全能力。安全与业务的平衡是一个正和而非零和的关系，未来一定会达成双赢。

信息安全的投入产出比是一个难题，信息安全一直是企业的成本中心，想要计算投入产出比就要先对企业的核心资产有一个清晰的认知，确保核心资产处于核心位置，同时也要确保资产关键性评估的过程中满足合规的要求。

计算安全的产出可以从以下三个依据。第一是在不降低安全性的前提下，计算引入安全自动化能力等一系列技术流程和措施后所节约的成本。第二就是在不影响或者不改变交付时效的前提下，计算引入安全能力后，安全事件的减少概率。第三是合规成本，无论是网络安全法还是GDPR，计算合规的处罚金额也可以计算出安全的产出。

潘蓉表示，新版ISO 27001的发布，用两句话来说就是“融合”，融合是未来的新范式。

第一个融合是在公司治理层面，可以纳入信息安全的治理，也就是说治理层要有人懂信息安全、网络安全，隐私保护或者有人要为此负责，这是企业数字化转型中公司治理的变化。从ESG来看，数字化企业更加领先、明显地适应了这个变化。以苹果公司为例，其内部的网络安全隐私管理由苹果公司的副总裁负责，各部门也有相应责任人员向其汇报安全管理情况。苹果公司ESG报告中覆盖了治理工具、技术应用以及汇报流程。

第二个是安全管理数字化，也就是安全管理和数字技术的融合。新版ISO 27001增加的网络安全模型IPDRR适合动态环境下的运营模式，数字化后，企业业务在网络上运行，其面临的威胁和攻击需要持续监控，告警分析，这些都需要技术工具来实现，传统的风险管理对实时性要求不高，通过经验的概率值可以判断和预先施加控制，但是面对动态变化的外部网络访问与攻击时，无法进行完全的事前预测，甚至攻击本身都运用了大数据攻击分析技术，道道一尺魔高一丈，安全管理也更需要数字化的技术，提高识别精准度和反应效率，支持零信任方式接入新业务，覆盖的系统和业务的生命周期等。

第三个是安全与业务的融合。安全管理隐性化的前提是梳理现有的安全流程，并将其植入到业务流程中。企业之间有一套高度相同的安全制度并不是新版ISO 27001想要的结果，能否隐形化、能否尽可能的融入到业务流程中才是真正重要的。例如，员工的职位或工作调动时，访问的权限以及接触的数据也要有所变化，过去可能是通过一个独立的访问权限管理来进行调动，而现在，权限管理需要和HR业务流程相融合。

第四个是安全运营与业务的运营的融合。运用IPDRR来构建安全的运营能力，更能支撑业务的创新。传统的安全方法论要求尽可能的识别潜在的风险，并提前采取措施去控制。对业务来说，这将带来阻碍，这也是安全与业务产生摩擦的原因。而现在，积极地与业务融合可以支持业务的创新。同样的，业务发展或许会带来新的风险，但是如果在业务运营时加入安全视角，就可以提升彼此之间的融合，并提高业务效率，保障安全。

第五供应链的融合。随着商业模式的变化，业务平台化使企业面对的安全服务商也越来越多。传统的采购标准可能是根据合同金额来判断风险。但实际上有可能很小的金额服务商接触和掌握了公司或关键人员的敏感信息，比如知名公司的总裁，其保险健康服务商，合同金额和业务采购合同相比可能不大，但是总裁的健康数据一旦泄露，不但涉及其隐私，更可能带来其公司公众价值的下跌，从而给公司带来巨额的财产损失。所以我们要从业务的价值链识别关键点，识别敏感信息的流动，来判断和施加安全供应链管理的措施。

陈恺博士表示，从标准的视角来看，未来的新范式可能是动态。ISO/IEC 27001和ISO/IEC 27002都引入了动态的概念。从ISO/IEC 27002:2022版新增加的控制项来看，无论是威胁情报监控、安全编码还是安全配置都属于动态的控制项，其背后反映的就是当前安全管理或信息安全工作具备一定的动态性。为什么要强调动态，主要是因为目前企业的业务变化速度很快，安全管理体系想要支撑业务发展，就一定要具备动态调整的能力。这些能力体现在管理体系的控制项中。动态的另一个体现点是ISO /IEC 27002：2022中的93个控制项定义了属性概念。对于企业来说，这些属性取决于业务，可以根据业务的动态发展，增减安全控制项的属性。

钱伟峰表示，未来的新范式可以是个性化。企业做安全不是为了和别人一样，而是为了满足自身的诉求。安全能否贴合风险、贴合资源投入情况，甚至是老板的偏好，这才是信息安全工作的本质。部分企业可能会严格安全标准中的描述，但其实，不同企业对于标准的认知和理解有一定的偏差，标准不是具体的工作和工具，而是具体的结果。企业应该擅于利用不同的工具、手段来达到标准指向的结果。

问题一：新版ISO/IEC 27001在贯标时，有哪些硬性的控制项需要落实？是否会因此造成额外的成本或是工作量？

钱伟峰：新版ISO 27001相对于ISO 9000或ISO 22301不同的是，ISO 27001本身具备裁剪性和定制化。企业在建立属于自身的信息安全管理体系时，可以结合自身实际的业务特征以及IT环境。换句话说，控制项是可以选择的，因此没有硬性的、必须要落实的控制项。

其次，控制项落实有很多层含义，一般是通过有效的管控手段以达到预期的效果，并在此基础上形成量化的评价数据，反馈给领导。在这个落实的过程中，具体落实的程度不同，成本也就不同。

问题二：融入业务是当下安全管理相比传统的区别，从审核的视角来看，如何看待企业的安全部门和其他各业务部门或支撑部门的分工协作？

潘蓉：这与公司的架构有关。安全部门如果是一个大部门，负责所有与安全相关的需求，那么可以通过设立BP，例如HR部门BP、IT部门BP等方式来进行覆盖。如果安全需要与业务贴合，具体工作需要各个部门来落实的话，可以参考ISO 27000的控制项，根据不同的职责进行分工，同时增添审计、治理等方面的部门和岗位。

张玮敏：从我所在的企业来看，我们有三层架构去管理企业信息安全。最高一层是信息安全决策委员会，由每个部门的VP构成，每个月会针对下游的决策进行汇报和统计；中间层是各个部门；最下一层是各个部门对应的信息安全负责人，有的部门会专门引入信息安全从业者来对项目进行部门级别的把控，人数较少的部门会由架构师来承担信息安全的工作。通过这样的三层架构，可以将上层的或是企业级的决策顺利下发到业务中，同时还能够从业务中吸收来自一线或通过实践得来的感受和经验。

信息安全部门在这三层架构中扮演的是平台支撑者的角色。当研发体系的安全能力逐渐加强后，信息安全部门会逐渐转变为教练员的角色，通过工具、体系和理论，来巩固各个层级的信息安全职能，确保整个体系能够正常运作。

问题三：新标转国标的时间进度及工作安排？

陈恺博士：国标对于ISO/IEC 27001的跟踪非常紧密，对于ISO/IEC 27002:2022的修订工作已经启动，但是由于ISO/IEC 27001:2022刚发布，其修订工作尚未启动。通常来看，国标的修订周期在18到24个月。因为审核认证机构也需要时间来转换，IAF建议从旧版向新版ISO/IEC 27001转换的周期是36个月。对于企业是否需要立即实施新版ISO/IEC 27001的控制项，建议根据风险评估的角度和业务特点进行分析做决策。

问题四：新版ISO/IEC 27001中扩展的数据安全、隐私安全的要求是否与ISO 27701的内容有冲突？通过新版ISO/IEC 27001的认证后，是否还需要做ISO 27701的认证。

潘蓉：这并不冲突，而是兼容。ISO 27701是在ISO 27001的基础上进行的拓展，对于个人信息保护方面更加专业，它覆盖了个人信息的采集、存储、使用、处理、分享、销毁全生命周期的处理，也涵盖了法规的要求。

问题五：如何将标准中的要求或变化点更好地落地？

钱伟峰：对于企业来说，应确保信息安全管理体系随同新的标准同步更新。对此，有几项基本的工作要做：一，应当有必要的参照，注意是参照不是完全保持一致。应参照新版ISO 27001的内容去更新风险评估中的风险源或者风险清单，确保包容新版标准的风险项。二，更新信息安全管理体系的文件。有些要求并不一定是在现有的安全文件中新增，有可能是在其他的例如IT服务管理中，所以要做好跨文件之间的指向和映射。三，标准变化后，同步更新企业内部的信息安全管理体系的内审检查清单确保在开展内部审核时能够完整覆盖到标准所要求的控制项。

第二期直播预告