什么是BS7799? BS7799是信息安全管理體系要求的標準。它可以幫助公司識別,管理和減少信息通常所面臨的各種威脅. 安全方針?。?為信息安全提供管理指導和支持。 安全組織 - 在公司內管理信息安全。 資產(chǎn)分類與管理?。镜男畔①Y產(chǎn)采取適當?shù)谋Wo措施。 人員安全?。p少人為錯誤、偷竊、欺詐或濫用信息及處理設施的風險。 實體和環(huán)境安全?。》乐箤ι虡I(yè)場所及信息未經(jīng)授權的訪問、損壞及干擾。 通訊與運作管理 - 確保信息處理設施正確和安全運行。 訪問控制 - 管理對信息的訪問。 系統(tǒng)的建立和維護?。〈_保將安全納入信息系統(tǒng)。 商業(yè)活動連續(xù)性管理?。》乐股虡I(yè)活動的中斷,并保護關鍵的業(yè)務過程免受重大故障或災難的影響。 符合法律?。”苊膺`反任何刑法和民法、法律法規(guī)或合同義務以及任何安全要求。 使用BS7799作為信息安全管理標準,由BSI認證。 一、什么是信息安全 牐犘畔安全(Information security):是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。 保密性定義為保障信息僅僅為那些被授權使用的人獲取。 完整性定義為保護信息及其處理方法的準確性和完整性。 可用性定義為保障授權使用人在需要時可以獲取信息和使用相關的資產(chǎn)。 信息的保密性是針對信息被允許訪問(Access)對象的多少而不同,所有人員都可以訪問的信息為公開信息,需要限制訪問的信息一般為敏感信息或秘密,秘密可以根據(jù)信息的重要性及保密要求分為不同的密級,例如國家根據(jù)秘密泄露對國家經(jīng)濟、安全利益產(chǎn)生的影響(后果)不同,將國家秘密分為秘密、機密和絕密三個等級,組織可根據(jù)其信息安全的實際,在符合《國家保密法》的前提下將其信息劃分為不同的密級;對于具體的信息的保密性有時效性,如秘密到期解密等。 信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,另一方面是指信息處理的方法的正確性。不正當?shù)牟僮鳎缯`刪除文件,有可能造成重要文件的丟失。 信息的可用性是指信息及相關的信息資產(chǎn)在授權人需要的時候,可以立即獲得。例如通信線路中斷故障會造成信息的在一段時間內不可用,影響正常的商業(yè)運作,這是信息可用性的破壞。 不同類型的信息及相應資產(chǎn)的信息安全在保密性、完整性及可用性方面關注點不同,如組織的專有技術、市場營銷計劃等商業(yè)秘密對組織來講保守機密尤其重要;而對于工業(yè)自動控制系統(tǒng),控制信息的完整性相對其保密性重要得多。 二、為什么需要信息安全 信息、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡都是重要的商務資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動、效益、法律符合性和商業(yè)形象都是至關重要的。 然而,越來越多的組織及其信息系統(tǒng)和網(wǎng)絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅,諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺。 組織對信息系統(tǒng)和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網(wǎng)絡的互連及信息資源的共享增大了實現(xiàn)訪問控制的難度。 許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來設計的,所以僅依靠技術手段來實現(xiàn)信息安全有其局限性,所以信息安全的實現(xiàn)必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃,并注意細節(jié)。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商、顧客或股東的參與和信息安全的專家建議。 在信息系統(tǒng)設計階段就將安全要求和控制一體化考慮,則成本會更低、效率會更高。 三、建立信息安全管理體系的意義 組織可以參照信息安全管理模型,按照先進的信息安全管理標準BS7799標準建立組織完整的信息安全管理體系并實施與保持,達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預防為主的信息安全管理方式,用最低的成本,達到可接受的信息安全水平,從根本上保證業(yè)務的連續(xù)性。 組織建立、實施與保持信息安全管理體系將會產(chǎn)生如下作用: * 強化員工的信息安全意識,規(guī)范組織信息安全行為; * 對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護,維持競爭優(yōu)勢; * 在信息系統(tǒng)受到侵襲時,確保業(yè)務持續(xù)開展并將損失降到最低程度; * 使組織的生意伙伴和客戶對組織充滿信心, * 如果通過體系認證,表明體系符合標準,證明組織有能力保障重要信息,提高組織的知名度與信任度; * 促使管理層堅持貫徹信息安全保障體系。 四、BS 7799標準概述 BS7799標準是由英國標準協(xié)會(BSI)制定的信息安全管理標準,是目前國際上具有代表性的信息安全管理體系標準,標準包括如下兩部分: BS7799-1:1999 《信息安全管理實施細則》 BS7799-2:2002 《信息安全管理體系規(guī)范》 BS7799-1:1999 《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則, 主要為組織制定其信息安全策略和進行有效的信息安全控制提供的一個大眾化的最佳慣例。BS7799-2:2002 《信息安全管理體系規(guī)范》規(guī)定了建立、實施和文件化信息安全管理體系(ISMS)的要求,規(guī)定了根據(jù)獨立組織的需要應實施安全控制的要求。即本標準適用以下場合: 組織按照本標準要求建立并實施信息安全管理體系,進行有效的信息安全風險管理,確保商務可持續(xù)性發(fā)展; 作為尋求信息安全管理體系第三方認證的標準。 BS7799標準第二部分明確提出安全控制要求,標準第一部分對應給出了通用的控制方法(措施),因此可以說,標準第一部分為第二部分的具體實施提供了指南。但標準中的控制目標、控制方式的要求并非信息安全管理的全部,組織可以根據(jù)需要考慮另外的控制目標和控制方式。 其中BS7799-1:1999 于2000年12月通過國際標準化組織(ISO)認可,正式成為國際標準,即ISO/IEC17799:2000 《信息技術-信息安全管理實施細則》。 “組織”這一術語貫穿BS 7799標準的始終,它既包括盈利組織,也包括非盈利組織,如公共部門或公共組織。 五、為什么說信息安全認證是實現(xiàn)信息安全目標的最佳途徑? 燘S 7799-2:2002信息安全管理體系規(guī)范向組織提出了一系列認證的要求,在總則中提出組織應建立并保持一個文件化的信息安全管理體系,闡述被保護的資產(chǎn)、組織風險管理的渠道、控制目標及控制方式和需要的保證等級;通過建立管理架構并加以實施來達到識別控制目標和控制方式,并形成文件和記錄。 燘S 7799-2:2002的控制細則包括十個部分。 1、 安全方針:為信息安全提供管理指導和支持; 2、 組織安全:建立信息安全架構,保證組織的內部管理;被第三方訪問或外協(xié)時,保障組織的信息安全; 3、 資產(chǎn)的歸類與控制:明確資產(chǎn)責任,保持對組織資產(chǎn)的適當保護;將信息進行歸類,確保信息資產(chǎn)受到適當程度的保護; 4、人員安全:在工作說明和資源方面,減少因人為錯誤、盜竊、欺詐和設施誤用造成的風險;加強用戶培訓,確保用戶清楚知道信息安全的危險性和相關事項,以便在他們的日常工作中支持組織的安全方針;制定安全事故或故障的反應程序,減少由安全事故和故障造成的損失,監(jiān)控安全事件并從這種事件中吸取教訓; 5、實物與環(huán)境安全:確定安全區(qū)域,防止非授權訪問、破壞、干擾商務場所和信息;通過保障設備安全,防止資產(chǎn)的丟失、破壞、資產(chǎn)危害及商務活動的中斷;采用通用的控制方式,防止信息或信息處理設施損壞或失竊; 6、通信和操作方式管理:明確操作程序及其責任,確保信息處理設施的正確、安全操作;加強系統(tǒng)策劃與驗收,減少系統(tǒng)失效風險;防范惡意軟件以保持軟件和信息的完整性;加強內務管理以保持信息處理和通訊服務的完整性和有效性通過;加強網(wǎng)絡管理確保網(wǎng)絡中的信息安全及其輔助設施受到保護;通過保護媒體處理的安全,防止資產(chǎn)損壞和商務活動的中斷;加強信息和軟件的交換的管理,防止組織間在交換信息時發(fā)生丟失、更改和誤用; 7、訪問控制:按照訪問控制的商務要求,控制信息訪問;加強用戶訪問管理,防止非授權訪問信息系統(tǒng);明確用戶職責,防止非授權的用戶訪問;加強網(wǎng)絡訪問控制,保護網(wǎng)絡服務程序;加強操作系統(tǒng)訪問控制,防止非授權的計算機訪問;加強應用訪問控制,防止非授權訪問系統(tǒng)中的信息;通過監(jiān)控系統(tǒng)的訪問與使用,監(jiān)測非授權行為;在移動式計算和電傳工作方面,確保使用移動式計算和電傳工作設施的信息安全; 8、系統(tǒng)開發(fā)與維護:明確系統(tǒng)安全要求,確保安全性已構成信息系統(tǒng)的一部份;加強應用系統(tǒng)的安全,防止應用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用;加強密碼技術控制,保護信息的保密性、可靠性或完整性;加強系統(tǒng)文件的安全,確保IT方案及其支持活動以安全的方式進行;加強開發(fā)和支持過程的安全,確保應用系統(tǒng)軟件和信息的安全; 9、商務連續(xù)性管理:防止商務活動的中斷及保護關鍵商務過程不受重大失誤或災難事故的影響; 10、符合:符合法律法規(guī)要求,避免刑法、民法、有關法令法規(guī)或合同約定事宜及其他安全要求的規(guī)定相抵觸;加強安全方針和技術符合性評審,確保體系按照組織的安全方針及標準執(zhí)行;系統(tǒng)審核考慮因素,使效果最大化,并使系統(tǒng)審核過程的影響最小化。 在國際標準ISO/IEC 17799給出了為實現(xiàn)信息安全認證所需的各項措施的詳細指導,具有很強的可操作性和指導性。 牐 說到底,信息安全工作的目的就是在法律、法規(guī)、政策的支持與指導下,通過采用合適的安全技術與安全管理措施,提供安全需求的保證,而BS 7799信息安全認證標準正是總和了這些要求。組織可以根據(jù)自身特點,在ISO/IEC 17799指導下,實現(xiàn)信息安全的要求。
BS7799的十個章節(jié)概述如下:
本頁關鍵詞:關于BS7799的詳細介紹