ISO/IEC 27001: 2013实施过程中如何准确理解“A. 8. 2 信息分级”以及如何正确应用“密级”这一概念

第一次对”密级“这一词有比较深刻的印象，是在应对一次ISO/IEC 27001外审的时候。当时审核老师询问到，公司的文件有没有划分”密级“，并且要查看相关的文件。虽然相关文件当时找到了，也有相关的内容，如资产分级，密级等，但文件的内容恐怕没人看的明白，包括编写这文件的咨询顾问，猜想他也很难看懂这个文件，也许这就是今天中国信息安全管理的现状的吧。所以当时为了应付审核老师，就简单的修改了下文件，把不同等级的资产归到不同的密级。

随着后来不断深入学习ISO/IEC 27001: 2013标准，才发现资产分级与密级关系远远没有那么简单。首先碰到第一个疑问，便是资产的“重要度等级”与资产的“安全等级”到底是一种怎样的关系。

在学习资产风险评估的时候，知道了资产的“重要度”概念，通过资产的安全属性等要素，可以确定资产的“重要度值”，然后根据资产的“重要度值”，可以将资产划分为不同的“重要度等级”。然而在学习ISO/IEC 27001: 2013标准落地的时候，有接触到了资产“安全等级”这一概念，为满足“A. 8. 2 信息分级”的要求，好多案例都将信息资产划分为不同的“安全等级”。正因如此，开始的时候，被“重要度等级”与“安全等级”这两个概念困扰了好久。当时在想，为什么会在不同的地方出现不一样的名称，这两个概念会是等同的吗？

为了弄清楚这个疑问，当时拿着ISO/IEC 27001: 2013标准、资产风险评估的资料以及ISO/IEC 27001: 2013标准实施落地的资料，看了一遍又一遍，最终大致可以确定“重要度等级”与“安全等级”就是一个东西，可以划等号的。但是为了更加确定，还是找了不少信息安全资产管理方面论文来看。看完之后，就完全可以肯定“重要度等级”与“安全等级”这两个概念就是一个东西，只是不同的资料，不同人，说法不同而已。

回过头来想，其实回到源头，ISO/IEC 27001: 2013标准和资产风险评估的方法（ISO/IEC 27005），也可以证明“重要度等级”与“安全等级”是一个东西。

“A. 8. 2 信息分级”要求主要包含二个过程：（1）资产识别与分级过程，（2）信息以及信息载体处置过程。而信息资产风险评估的第一阶段，就是“A. 8. 2 信息分级”要求的两个过程中的一个（资产识别与分级过程）。所以ISO/IEC 27001: 2013标准所要求的分级过程与信息资产风险评估中的分级过程是同一过程，并且分级所使用的方法也一样，所以得到结果肯定是完全一回事，虽然使用名称（“重要度等级”与“安全等级”）不一样。

好不容易弄清楚了“重要度等级”与“安全等级”的关系，接下来又碰到了一个新的疑惑。

“重要度等级”或“安全等级”与“密级”肯定不是同一个概念，因为他们涵盖的资产范围不一样。“重要度等级”或“安全等级”针对所有信息资产而言的，而“密级”仅仅是对部分信息资产（如文档、数据）而言。

今天信息安全管理中的一些基本概念，如保密性，完整性以及可用性，的确最开始只针对数据和文档的。但从数据安全演变到今天企业全面的信息安全管理，保密性，完整性和可用性的内涵也发生了很大的变化。至于发生了怎样的变化，现在真正的内涵又是什么？估计很少有人说的清楚，好像也没有看到有人去专门研究这个课题。如果有人去研究，写一篇博士学位论文完全都没问题。之前在给员工做培训的时候，讲到保密性，完整性和可用性，讲了几次之后，发现之前对这概念认知的还不够彻底，反而把自己弄懵了，就更不要说下面听的人了。

当然“密级”这一概念，最初的提出和应用，同样是因为数据安全的管理，而今天随着信息安全管理理论发展，再像之前那样来应用“密级”这一概念，对信息资产进行分类分级，显然是不准确的，或者说是画蛇添足。说不准确，是因为今天已经用安全等级（或重要度）代替了密级的功能，如果还继续使用密级，而没有引入安全等级的概念，显然不符合今天信息安全管理的要求；那么画蛇添足呢，如果引入了安全等级的概念以及其功能，再使用密级概念的话，就显得多余了。

附：A.8 资产管理