BS7799標準
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
BS 7799(ISO/IEC17799):即國際信息安全管理標準體系,2000年12月,國際標準化組織ISO正式發佈了有關信息安全的國際標準ISO17799,這個標準包括信息系統安全管理和安全認證兩大部分,是參照英國國家標準BS7799而來的。它是一個詳細的安全標準,包括安全內容的所有準則,由十個獨立的部分組成,每一節都覆蓋了不同的主題和區域。
由英國標準協會(BSI)編寫的信息安全管理體系標準BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機構、企業進行信息安全管理提供了一個完整的管理框架。這一套‘姊妹對’標準引導機構、企業建立一個完整的信息安全管理體系,對信息安全進行動態的、以分析機構及企業面臨的安全風險為起點對企業的信息安全風險進行動態的、全面的、有效的、不斷改進的管理,並強調信息安全管理的目的是保持機構及企業業務的連續性不受信息安全事件的破壞,要從機構或企業現有的資源和管理基礎為出發點,建立信息安全管理體系(ISMS),不斷改進信息安全管理的水平,使機構或企業的信息安全以最小代價達到需要的水準。保護信息安全,建立信息安全管理體系是機構或企業營運的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的參考依據,它以“計劃(Plan)、實施(Do)、檢查(Check)、行動(Action)”模式,將管理體系規範導入機構或企業內,以達到“持續改進”的目的。
隨著在世界範圍內信息化水平的不斷發展和貿易全球一體化的不斷普及和深入,信息系統在商業和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統不斷增長的依賴性,加上在信息系統上運作業務的風險、收益和機會,使得信息安全管理成為企業管理越來越關鍵的一部分;在很多的場合,它已經成為一個組織生死存亡或貿易虧盈成敗的起決定性的因素,因此信息安全逐漸成為人們關註的焦點。世界範圍內的各國家、機構、組織、個人都在探尋如何保障信息安全的問題,各相關部門和研究機構也紛紛投入相當的人力、物力和資金試圖來解決信息安全問題。
在組織的決策者想方設法保障本組織的信息安全的同時,破壞方總能道高一尺,魔高一丈,數不勝數的電腦病毒、防不勝防的電腦黑客、各類層出不窮的泄密事故就是明證。就拿我國來說,近年來也接連不斷地出現了程度不同的信息安全事件,這些事件不僅僅是簡單的信息系統癱瘓的問題,其直接後果是導致巨大的經濟損失,還造成了不良的社會影響。如果說經濟損失還能彌補,那麼由於信息網路的脆弱性而引起的公眾對網路社會的誠信危機則不是短時期內可能恢復的。
安全是一種"買不到"的東西。打開包裝箱後即插即用並提供足夠安全水平的安全防護體系是不存在的,因此,一些企業雖然安裝了一些安全產品,但並不等於擁有了一個真正的安全體系。而且相關調查數據顯示,超過75%的信息系統泄密和惡意攻擊事件都是人為造成的,即由於信息安全管理的缺位而造成的。而技術本身實際上只是信息安全體系裡的一小部分。不管一項技術有多先進,都只不過是輔助實現信息安全的手段而已。大部分的信息安全管理專家認為技術並不是不重要,但在信息安全的架構里,它一定要在好的信息安全管理的基礎上,所以在業界素有三分技術,七分管理的說法。
正是在這樣的世界大環境和學術界共同認同的原則下,各國的研究機構都紛紛研究和制定信息安全管理、風險評估、信息安全技術的標準,而英國標準化協會(BSI),這個在全世界標準界負有盛名的機構,在成功地為ISO9000、ISO14000、OHSAS18000等世界著名的標準打好基礎後,又一次在信息安全管理領域拔得頭籌,其制定的BS7799信息安全管理標準又一次成為國際上最具權威的和最具代表性的標準。
早在1995年2月,英國標準協會(BSI)就提出制定信息安全管理標準,並迅速於1995年5月制訂完成,且於1999年重新修改了該標準。BS7799分為兩個部分:BS7799-1,《信息安全管理實施規則》;BS7799-2《信息安全管理體系規範》;其中BS7799-1:1999於2000年12月通過ISO/IECJTC1(國際標準化組織和國際電工委員會的聯合技術委員會)認可,正式成為國際標準,即ISO/IEC17799:2000《信息技術-信息安全管理實施細則》。這是通過ISO表決最快的一個標準,足見世界各國對該標準的關註和接受程度。而在2002年9月5日英國標準化協會又發佈了新版本BS7799-2:2002替代了BS7799-2:1999。
BS7799-1(ISO/IEC 1799:2000)《信息安全管理實施細則》是組織建立並實施信息安全管理體系的一個指導性的準則,主要為組織制定其信息安全策略和進行有效的信息安全控制提供了一個大眾化的最佳慣例。BS7799-2《信息安全管理體系規範》規定了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。正如該標準的適用範圍介紹的一樣,本標準適用以下場合:組織按照本標準要求建立並實施信息安全管理體系,進行有效的信息安全風險管理,確保商務可持續性發展;作為尋求信息安全管理體系第三方認證的標準。BS7799-2明確提出信息安全管理要求,BS7799-1則對應給出了通用的控制方法(措施),因此,BS7799-2才是認證的依據,嚴格的說組織獲得的認證是獲得了BS7799-2的認證,BS7799-1為BS7799-2的具體實施提供了指南,但標準中的控制目標、控制方式的要求並非信息安全管理的全部,組織可以根據需要考慮另外的控制目標和控制方式。
BS7799-1:1999(ISO/IEC 1799:2000)標準在正文前設立了“前言”和“介紹”,其“介紹”中“對什麼是信息安全、為什麼需要信息安全、如何確定安全需要、評估安全風險、選擇控制措施、信息安全起點、關鍵的成功因素、制定自己的準則”等內容作了說明,標準中介紹,信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。保密性定義為保障信息僅僅為那些被授權使用的人獲取。完整性定義為保護信息及其處理方法的準確性和完整性。可用性定義為保障授權使用人在需要時可以獲取信息和使用相關的資產。標準對“為什麼需要信息安全”時介紹,信息、信息處理過程及對信息起支持作用的信息系統和信息網路都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。然而,越來越多的組織及其信息系統和網路面臨著包括電腦詐騙、間諜、蓄意破壞、火災、水災等大範圍的安全威脅,諸如電腦病毒、電腦入侵、DOS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網路的互連及信息資源的共用增大了實現訪問控制的難度。許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程式控制的適當支持。
該標準的正文規定了127個安全控制措施來幫助組織識別在運作過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。這127個控制措施被分成10個方面,成為組織實施信息安全管理的實用指南,這十個方面分別是:
(1)安全方針:制定信息安全方針,為信息安全提供管理指導和支持。
(2)組織安全:建立信息安全基礎設施,來管理組織範圍內的信息安全;
維持被第三方所訪問的組織的信息處理設施和信息資產的安全,以及當信息處理外包給其他組織時,維護信息的安全。
(3)資產的分類與控制:核查所有信息資產,以維護組織資產的適當保護,並做好信息分類,確保信息資產受到適當程度的保護。
(4)人員安全:註意工作職責定義和人力資源中的安全,以減少人為差錯、盜竊、欺詐或誤用設施的風險;做好用戶培訓,確保用戶知道信息安全威脅和事務,並準備好在其正常工作過程中支持組織的安全政策;制定對安全事故和故障的響應流程,使安全事故和故障的損害減到最小,並監視事故和從事故中學習。
(5)物理和環境的安全:定義安全區域,以避免對業務辦公場所和信息的未授權訪問、損壞和干擾;保護設備的安全,防止信息資產的丟失、損壞或泄露和業務活動的中斷;同時還要做好一般控制,以防止信息和信息處理設施的泄露或盜竊。
(6)通信和操作管理:制定操作規程和職責,確保信息處理設施的正確和安全操作;建立系統規劃和驗收準則,將系統故障的風險減低到最小;防範惡意軟體,保護軟體和信息的完整性;建立內務規程,以維護信息處理和通信服務的完整性和可用性;確保信息在網路中的安全,以及保護其支持基礎設施;建立媒體處置和安全的規程,防止資產損壞和業務活動的中斷;防止信息和軟體在組織之間交換時丟失、修改或誤用。
(7)訪問控制:制定訪問控制的業務要求,以控制對信息的訪問;建立全面的用戶訪問管理,避免信息系統的未授權訪問;讓用戶瞭解他對維護有效訪問控制的職責,防止未授權用戶的訪問;對網路訪問加以控制,保護網路服務;建立操作系統級的訪問控制,防止對電腦的未授權訪問;建立應用訪問控制,防止未授權用戶訪問保存在信息系統中的信息;監視系統訪問和使用,檢測未授權的活動;當使用移動計算和遠程工作時,也要確保信息安全。
(8)系統開發和維護:標識系統的安全要求,確保全全被構建在信息系統內;控制應用系統的安全,防止應用系統中用戶數據的丟失、被修改或誤用;使用密碼控制,保護信息的保密性、真實性或完整性;控制對系統文件的訪問,確保按安全方式進行IT項目和支持活動;嚴格控制開發和支持過程,維護應用系統軟體和信息的安全。
(9)業務持續性管理:目的為了減少業務活動的中斷,使關鍵業務過程免受主要故障或天災的影響。
(10)符合性:信息系統的設計、操作、使用和管理要符合法律要求,避免任何犯罪、違反民法、違背法規、規章或合約義務以及任何安全要求;定期審查安全政策和技術符合性,確保系統符合組織安全政策和標準;還要控制系統審核,使系統審核過程的效力最大化,干擾最小化。(待續)
BS7799-2:2002標準詳細說明瞭建立、實施和維護信息安全管理系統(ISMS)的要求,指出實施組織需遵循某一風險評估來鑒定最適宜的控制對象,並對自己的需求採取適當的控制。本部分提出了應該如何建立信息安全管理體系的步驟,如圖1所示:
(1)定義信息安全策略。
信息安全策略是組織信息安全的最高方針,需要根據組織內各個部門的實際情況,分別制訂不同的信息安全策略。例如,規模較小的組織單位可能只有一個信息安全策略,並適用於組織內所有部門、員工;而規模大的集團組織則需要制
訂一個信息安全策略文件,分別適用於不同的子公司或各分支機構。信息安全策略應該簡單明瞭、通俗易懂,並形成書面文件,發給組織內的所有成員。同時要對所有相關員工進行信息安全策略的培訓,對信息安全負有特殊責任的人員要進行特殊的培訓,以使信息安全方針真正植根於組織內所有員工的腦海並落實到實際工作中。
(2)定義ISMS的範圍。
ISMS的範圍確定需要重點進行信息安全管理的領域,組織需要根據自己的實際情況,在整個組織範圍內、或者在個別部門或領域構架ISMS。在本階段,應將組織劃分成不同的信息安全控制領域,以易於組織對有不同需求的領域進行適當的信息安全管理。
(3)進行信息安全風險評估。
信息安全風險評估的複雜程度將取決於風險的複雜程度和受保護資產的敏感程度,所採用的評估措施應該與組織對信息資產風險的保護需求相一致。風險評估主要對ISMS範圍內的信息資產進行鑒定和估價,然後對信息資產面對的各種威脅和脆弱性進行評估,同時對已存在的或規劃的安全管制措施進行鑒定。風險評估主要依賴於商業信息和系統的性質、使用信息的商業目的、所採用的系統環境等因素,組織在進行信息資產風險評估時,需要將直接後果和潛在後果一併考慮。
(4)信息安全風險管理。
根據風險評估的結果進行相應的風險管理。信息安全風險管理主要包括以下幾種措施:
降低風險:在考慮轉嫁風險前,應首先考慮採取措施降低風險;
避免風險:有些風險很容易避免,例如通過採用不同的技術、更改操作流程、採用簡單的技術措施等;
轉嫁風險:通常只有當風險不能被降低或避免、且被第三方(被轉嫁方)接受時才被採用。一般用於那些低概率、但一旦風險發生時會對組織產生重大影響的風險。
接受風險:用於那些在採取了降低風險和避免風險措施後,出於實際和經濟方面的原因,只要組織進行運營,就必然存在並必須接受的風險。
(5)確定管制目標和選擇管制措施。
管制目標的確定和管制措施的選擇原則是費用不超過風險所造成的損失。由於信息安全是一個動態的系統工程,組織應實時對選擇的管制目標和管制措施加以校驗和調整,以適應變化了的情況,使組織的信息資產得到有效、經濟、合理的保護。
(6)準備信息安全適用性聲明。
信息安全適用性聲明紀錄了組織內相關的風險管制目標和針對每種風險所採取的各種控制措施。信息安全適用性聲明的準備,一方面是為了向組織內的員工聲明對信息安全面對的風險的態度,在更大程度上則是為了向外界表明組織的態度和作為,以表明組織已經全面、系統地審視了組織的信息安全系統,並將所有有必要管制的風險控制在能夠被接受的範圍內。
新版本同ISO9001:2000(質量管理體系)和ISO14001:1996(環境管理體系)等國際知名管理體系標準採用相同的風格,使信息安全管理體系更容易和其它的管理體系相協調。新版標準的主要更新在於:
PDCA(Plan Do Check Act)的模型;
基於PDCA模型的基於過程的方法;
對風險評估過程、控制選擇和適用性聲明的內容與相互關係的闡述;
對ISMS持續過程改進的重要性;
文檔和記錄方面更清楚的需求;
風險評估和管理過程的改進;
對新版本使用提供指南的附錄;
新版本在介紹信息安全管理體系的建立、實施和改進的過程中也引用了PDCA模型,按照PDCA模型將信息安全管理體系分解成風險評估、安全設計與執行、安全管理和再評估四個子過程,特別介紹了基於PDCA模型的過程管理方法,併在附錄中為解釋或採用新版標準提供了指南,如圖2所示。組織通過持續的執行這些過程而使自身的信息安全水平得到不斷的提高。
新版標準較BS7799-2:1999沒有引入任何新的審核和認證要求,新標準完全兼容依據BS7799-2:1999建立、實施和保持的信息安全管理體系(ISMS)。新版標準沒有增加任何控制目標和控制方式,所有的控制目標和控制方式都是來自ISO/IEC 1799:2000。只是新版標准將原來BS7799-2:1999的第四部分作為附件A放在了標準後面,而且採用了不同的編號方式將BS7799-2:1999和ISO/IEC 1799:2000結合起來了。
儘管ISO/IEC 17799是在很多國家的反對聲中被採納的,BS7799-1在轉換成ISO/IEC 17799的過程中受到了包括美國等很多發達國家的反對;儘管國際信息安全界對ISO/IEC 17799的爭議很多,而且目前已經有幾個國家指出,ISO/IEC 17799的某些部分與其國家法律存在著衝突,尤其是在隱私領域,但其普及和推廣已是勢不可當,到目前為止已有二十多個國家引用BS7799-2作為國標,BS7799(ISO/IEC 17799)也是賣出拷貝最多的管理標準,越來越多的信息安全公司都以BS7799作指導為客戶提供信息安全咨詢服務。而且令人高興的是ISO/IEC 17799不久它就會出新版本。截至目前全球已有41個國家和地區的878個組織獲得了BS7799-2的認證,其中日本最多408家,英國其次157家,中國有49家,其中大陸9家,臺灣25家,香港15家。全球已獲得BS7799-2認證資格的認證機構有26個,認可機構有3個,分別為歐洲認可聯盟(EA),國際認可聯盟(IAF)以及英國的UKAS;目前我國還沒有獲得國際認可的認證機構。
信息安全管理體系的認證審核與環境、職業健康安全管理體系的審核類似,分兩個階段,多數認證機構在第三年需要進行重新審核,但BSI不需要。
BSI沒有向ISO/IECJTC1提交BS7799-2,目前也沒有跡象表明BSI是否會在將來提交。ISO/IECJTC1也還沒有計划去制定ISO/IEC 17799-2。在類似於ISO/IEC 17799-2的標準被ISO/IECJTC1接受以前,不可能有“官方”的ISO/IEC 17799認證項目。
BS7799-2信息安全管理體系(ISMS)審核員的註冊由國際註冊審核員協會(IRCA)進行,分四個等級,分別為實習審核員、審核員、主任審核員、首席審核員;其中首席審核員分為兩種,一種為咨詢師,一種為組長,
值得關註的是其對咨詢師的要求比對組長的要求要高的多。
我國政府主管部門以及各行各業已經認識到了信息安全的重要性。政府部門開始出台一系列相關策略,直接牽引、推進信息安全的應用和發展。由政府主導的各大信息系統工程和信息化程度要求非常高的相關行業,也開始出台對信息安全技術產品的應用標準和規範。國務院信息化工作小組最近頒佈的《關於我國電子政務建設指導意見》也強調指出了電子政務建設中信息系統安全的重要性;中國人民銀行正在加緊制定網上銀行系統安全性評估指引,並明確提出對信息安全的投資要達到IT總投資的10%以上,而在其他一些關鍵行業,信息安全的投資甚至已經超過了總IT預算的30-50%。
2002年4月,我國成立了“全國信息安全標準化技術委員會(TC260)”,該標委會是在信息安全的專業領域內,從事信息安全標準化工作的技術工作組織。信息安全標委會設置了10個工作組,其中信息安全管理(含工程與開發)工作組(WG7)負責對信息安全的行政、技術、人員等管理提出規範要求及指導指南,它包括信息安全管理指南、信息安全管理實施規範、人員培訓教育及錄用要求、信息安全社會化服務管理規範、信息安全保險業務規範框架和安全策略要求與指南。目前,WG7工作組正在著手制定推薦性國家標準《信息技術信息安全管理實用規則》,該標準的採用程度為等同採用標準,也就是說該標準與ISO/IEC 17799相同,除了糾正排版或印刷錯誤、改變標點符號、增加不改變技術內容的說明和指示之外不改變標準技術的內容。
BS7799提供了一套綜合的、由信息安全最佳措施組成的實施規則和管理要求,它廣泛地涵蓋了幾乎所有的安全議題,非常適合於作為工商業及大、中、小組織的信息系統在大多數情況下所需的控制範圍確定的參考基準。雖然我國信息安全標委會不是將ISO/IEC 17799作為強制性國家標準引入,而是僅作為推薦性國家標準推行,但是企業和組織仍然可以將ISO/IEC 17799作為衡量信息安全管理體系規範程度的一個標準和指標。建立信息安全管理體系並獲得經認可的認證機構的認證,不僅能提高組織自身的安全管理水平,將企業的安全風險控制在可接受的程度,減小信息安全遭到破壞帶來的損失,保證業務的可持續運作;並且能向客戶及利益相關方展示組織對信息安全的承諾,增強投資方和股票持有者的投資信息,向政府及行業主管部門證明組織對相關法律法規的符合,並且得到國際上的承認。尤其對於銀行、證券、電子商務、ISP等服務提供商來說,可以藉此向客戶展示其服務相比其他競爭對手更加安全、可靠,並樹立和增強企業的信息安全形象,提高企業的綜合競爭力。
我想要信息安全管理實施細則與信息安全管理體系規範的全總內容,誰都幫我提供一下?