信息安全是當(dāng)前的一個(gè)熱門話題,剛剛過去的2004年,被稱作中國信息安全年。為什么信息安全會(huì)成為如此被關(guān)注的話題呢?其一是人們意識(shí)的提高,開始關(guān)心自己的和客戶的信息安全了,其二就是當(dāng)前普遍存在的問題是信息不安全。數(shù)據(jù)顯示,全球每年由于安全事件的損失高達(dá)數(shù)百億美元,而這些安全事件中,由于管理缺乏所致的比例高達(dá)70%。 保障信息安全有三個(gè)支柱,一個(gè)是技術(shù)、一個(gè)是管理、一個(gè)是法律法規(guī)。而我們?nèi)粘L峒靶畔踩珪r(shí),多是在技術(shù)相關(guān)的領(lǐng)域,例如IDS入侵檢測技術(shù)、Firewall防火墻技術(shù)、Anti-Virus防病毒技術(shù)、加密技術(shù)、CA認(rèn)證技術(shù)等等。這是因?yàn)榧夹g(shù)提供商在培育市場;國家的法律法規(guī),有專門的部門在研究和制定和推廣,那么誰來關(guān)注管理對(duì)信息安全的保障呢? 根據(jù)國務(wù)院27號(hào)文件,對(duì)信息安全實(shí)施分級(jí)安全保護(hù)的規(guī)定出臺(tái)后,各有關(guān)部門都在積極制定相關(guān)的制度和法規(guī),當(dāng)前被普遍采用的技術(shù)標(biāo)準(zhǔn)的是CC/ISO15408,管理體系標(biāo)準(zhǔn)是ISO 17799/ BS 7799。 BS7799是BSI制定的標(biāo)準(zhǔn)之一,早在二十紀(jì)世九十年代,隨著信息的極大化豐富,需要一個(gè)標(biāo)準(zhǔn)來約束和規(guī)范信息安全的管理,BS7799-1的第一個(gè)版本在1995年由BSI推出,隨后用于認(rèn)證的BS7799-2在1998年推出。隨著信息技術(shù)的發(fā)展,BS7799的兩個(gè)部分全面更新為BS7799-1:1999 和BS7799-2:1999。BS7799-1被采納為ISO標(biāo)準(zhǔn),ISO17799于2000年正式發(fā)行。2002年BS7799進(jìn)一步改版,引入PDCA的過程方法,與ISO9001等標(biāo)準(zhǔn)采用同一框架。BS7799也隨著技術(shù)和應(yīng)用的發(fā)展而發(fā)展著,并且正在被越來越多的國家采納為國家標(biāo)準(zhǔn)。
BS7799從10個(gè)領(lǐng)域來關(guān)注信息安全的保障,共提供36個(gè)控制目標(biāo)和127個(gè)控制措施,目前已經(jīng)在全球頒發(fā)了超過1000張證書,并且這個(gè)數(shù)字正在不斷更新中。BS7799已經(jīng)成為技術(shù)保障之上的普遍認(rèn)同的管理體系標(biāo)準(zhǔn)。
本頁關(guān)鍵詞:關(guān)于ISO 17799 / BS 7799 信息安全