专访中国信息安全测评中心李斌

        李斌：业务连续性属于从业务的角度来看在贝的作用，也就是说它考虑的是任何一个安全事件对它的业务的影响，比如说有一个停电事件，如果时间长的话，很可能自己业务停顿，但是也可能是一个误操作，会造成某一台机器受影响，但是对整个关键业务影响不大。所以从不同的安全事件对于整个业务的大小要BIA，(英)这种业务能力，它就根据对业务影响最关键，成果最严重的事件采取不同的措施来保证发生这些事件的话也不至于把业务全国停用下来。比如说数据丢失的话，很可能是灾难性监管，肆意在贝保存数据，很可能是我业务及时，停顿了，但是我不至于完全地恢复，我们的下一步，我发生事件的话，我不但数据不丢失，我的业务也不丢失，这就涉及到应用系统就比我们保存数据高了一级，我们的业务连续性从规划到实施到演练到最后测试，它也是一系列的。

        记者：今天还有一个话题是关于新兴国家标准的，刚才我也才知道标准是一个推荐性的标准，并不是强制性的，标准和资质之间的互相标准，资质是必需的，你必须有资质才能实施，但是标准呢?

        李斌：我先解释一下标准，一个是强制性标准，我们一般说GB，国标的意思，后面就是标准号;一个是推荐标准，GB-T，不是说这个标准就没有什么影响力，而是说它比强制性标准对企业的约束更多是靠最后事实的实际上去遵循，而不是事先就遵循，强制性标准在新安全的领域很少，目前来说比较典型的，一个是等级保护的标准，等级保护一系列里面只有一个标准是强制的，后续的标准也是推荐的;还有一个是我们原来的WAPI，就相当于无线接入的一个加密和安全认证方面，接入安全的标准。从国家标准工作角度来看，要慎用这种强制性标准，因为它的强制性约束比较大，标准的更新时间一般来说是有三到五年甚至更长，但是具体的一个技术发展更快。所以如果是标准本身的强制性或者把一些经常发展比较迅速的技术的话，过早地把它固化下来也不一定是个好事情。所以这个标准的制定时机是比较重要的，同时标准不断更新。同意我们推荐性标准并不意味着这个标准不重要，比如说我们国家现在一系列的应急响应、安全事件的分级分类、风险评估还有密码的一些标准基本上都是推荐性标准，它占绝大多数，大概是百分之八九十;最后还有一个标准叫指导性标准，叫GB-C，那是指导性的，比如说关于什么什么的指南，这个标准一样能起到标准的规范性作用，但是它是一种指导性、建议性的标准。

         记者：帮你怎么达标的?

          李斌：对。

         记者：当年整保的时候强制性各部委费了多大劲，其实那几年为了达标也是好长时间做那件事。

         李斌：不，标准和政策还不完全一样，刚才是政策方面推动比较大的，但是做法是参照标准的。赞成刚才也说了达到标准花了很大劲，那个跟标准是强制的还是推荐的没关系，不是说推荐的我们就可以轻松一点，因为是国家要求必需的。

         记者：限期整改的?

         李斌：对。

         记者：接下来在贝方面有没有咱们细分的标准在您的规范里面?

         李斌：在贝我们国家出了一个标准。

        另一发言人：920988，安全新兴系统恢复规范，这个当时我们还有测评中心一起去编制的国家标准。

        李斌：这个是还有一些跟在贝相关的标准，但是它的名字并不一定直接起名叫标准，比如说《信息安全事件分级分类的指南》这种标准，它实际上是适合我们在贝的，同时又适合应急响应的，因为你发生什么事件，我怎么去应急，在贝怎么准备，这些都是相关的。以后像在贝一方面是标准本身不断地去更新，因为我可能说是标准的推荐，在IT领域本身就发展很快，所以到一定时间就会继续更新。第二像有一些新技术也应用到在贝里，比如说最近的云计算。

        记者：回头发邮件。

        李斌：我给大家写一个邮件地址吧。

        记者：其实云计算肯定会影响到安全评测标准吧?

        李斌：对。

        记者：但是正在探讨，所以可能要再过一些年。

        李斌：云计算的标准是这样的，我们说的标准一个是直接把这个技术或者说它的框架以及涉及到哪些过程本身的相关标准，第二是云计算里面也用到了一些其他的标准，比如说SAAS，软件集、服务之类的，还有比如说云安全，也涉及到一些密码标准，密码标准已经有了，它只是继续用，标准是一个相互的，可能云计算和云计算安全有一个标准，但是标准肯定会用到其他标准，不可能把所有其他安全技术都纳入，不然有测标的一大漏洞。

          记者：这个在规划中了吗?

         李斌：最权威的解答不在我这里，在安标委，我们信息安全标准化委员会那里。