民航空管信息化建设研究




            容进行层层分解。每个标准都有相应的文件支持，例如信息安全管理体系标准就
            对应了 GB/T22080《信息技术安全技术信息安全管理体系要求》和 GB/T22081
            《信息技术安全技术信息安全管理实用规则》，而且这两个标准均对标国际通用

            标准。
                （二）信息安全国际通用标准
                国际上通用的与信息安全有关的标准有很多，如在 20 世纪 70 年代由美国
            国防部发布的《可信计算机系统评估准则》（TCSEC），又叫橘皮书。这是世

            界上第一个评估信息技术安全性的标准，它按处理信息的等级和应采用的响应
            措施，将计算机安全从高到低分划分了 4 个大类 7 个级别，共 27 条评估准则，
            随着安全等级的提高，系统的可信度相应增加，风险则逐渐减少。而现在在信
            息安全领域中应用最普遍、最典型的信息安全管理标准是由英国标准协会制定的

            BS7799，它作为一个基础指导性文件，广泛应用于政府、企业、金融、电信等行业，
            主要被开发人员用作内部实现和维护信息安全的参考文档，包括 10 个管理要项、
            36 个安全目标和 127 项安全控制措施。
                与此同时，BS7799 标准还详细规定了建立、实施和维护信息安全管理系统

            的具体要求，并提出实施组织有必要进行风险评估来确定最合适的控制对象，并
            且合理控制自己的需求。我国在信息安全管理标准上较常采用的国际标准是由国
            际标准化组织推出的 ISO/IEC27000 族标准，而且已经等同转化为中国国家标准。
            以 ISO/IEC27001:2013 标准为例，该标准为组织建立、实施、维护和持续改进信

            息安全管理体系提出相关要求，国际标准化组织统一了管理体系标准的结构、格
            式，以及通用短语和定义，从而确保未来管理体系标准编制或修订的持续性、整
            合性和简易性。
                同时，ISO/IEC27001:2013 结合 PDCA 过程方法，通过以下七个部分组成主

            要内容，最终将信息安全管理体系落实执行：
                ①组织环境：组织应了解与其总体目标相关的内部和外部环境因素，相关因
            素将可能影响到实现信息安全管理体系的预期效果。
                ②领导力：管理决策层应通过行动证明其实施了与信息安全管理体系相关的

            领导工作与承诺，制定了适当合理的信息安全战略方针，并保证信息安全管理角
            色和权责得到合理分配和充分沟通。
                ③策划：当进行规划时，根据组织环境、需求和期望来决定需要被处置的风



             112