当前位置:
政策法规
信息安全管理的“标尺”
作者:孙强, 郝晓玲
信息技术的发展和应用伴随企业对信息安全认识的不断深入,而建立一套信息安全管理的机制辅助企业实现信息安全策略,是企业各个层面的迫切需求。BS 7799作为领域的一个权威标准,是全球业界一致公认的辅助信息安全治理的手段。本系列专题将围绕BS 7799,介绍该标准的主要内容、实施情况和简单的评价。
随着信息技术的发展,企业对于信息系统的依赖性不断增长,而日益复杂的信息系统的运作风险也在不断加大,这使得信息安全管理成为企业管理越来越关键的一部分。到底应该采用怎样的策略和方法推动信息安全技术和产品的发展?建立怎样的机制来管理或治理信息安全呢?
经过近一年对国内外信息安全和最佳实战的研究,我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制,它包括治理机制和治理结构,这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准,并且和相关的法律和规范一致。
BS 7799作为信息安全管理领域的一个权威标准,是全球业界一致公认的辅助信息安全治理的手段,该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架,这正是管理层能够接受并理解的,而此前与之对应的情形是:一旦出现信息安全事件,IT部门负责人就想到要采用最先进的信息安全技术,如购买先进的防火墙等等,客观上让人感觉到IT部门总是在花钱,这是管理层难以理解和不接受的。
BS 7799管理体系将IT策略和企业发展方向统一起来,确保IT资源用得其所,使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性、完整性和可用性来管理和保护组织的所有信息资产,通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制,组织按照这套标准管理信息安全风险,可持续提高管理的有效性和不断提高自身的信息安全管理水平,降低信息安全对持续发展造成的风险,最终保障组织的特定安全目标得以实现,进而利用信息技术为组织创造新的战略竞争机遇。
BS 7799的主要内容
BS 7799主要由两大部分组成:BS 7799-1:1999(《信息安全管理实施细则》),以及BS 7799-2:1999(《信息安全管理体系规范》)。
BS 7799-1:1999作为国际信息安全指导标准ISO/IEC 17799基础的指导性文件,主要让负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全。这一部分包括十大管理要项,三十六个执行目标,一百二十七种控制方法,如图1所示。其详细内容如表1所示。
附注:(m,n)- m:执行目标的数目 n:控制方法的数目
图1 十大管理要项图
信息安全与信息安全管理
在该标准中,信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和业务的回报。信息安全的涵义主要体现在以下三个方面:
◆ 安全性:确保信息仅可让授权获取的人士访问;
◆ 完整性:保护信息和处理方法的准确和完善;
◆ 可用性:确保授权人需要时可以获取信息和相应的资产。
BS 7799信息安全管理体系标准强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式,导致的结果是不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失。而BS 7799标准基于风险管理的思想,指导组织建立信息安全管理体系ISMS(Information Security Management System)。ISMS是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。
BS 7799-2:2002特点
新版本BS 7799-2:2002于2002年9月5日在英国发布。新版本同ISO 9001:2000(质量管理体系) 和ISO 14001:1996(环境管理体系)等国际知名管理体系标准采用相同的风格,使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于:
◆PDCA(Plan-Do-Check-Act)的模型
◆基于PDCA模型的基于过程的方法
◆对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述
◆对ISMS持续过程改进的重要性
◆文档和记录方面更清楚的需求
◆风险评估和管理过程的改进
◆对新版本使用提供指南的附录
新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程,特别介绍了基于PDCA模型的过程管理方法,并在附录中为解释或采用新版标准提供了指南,如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下:
图2 PDCA模型应用与信息安全管理体系过程
1.计划(PLAN):定义信息安全管理体系的范围,鉴别和评估业务风险
2.实施(DO):实施同意的风险治理活动以及适当的控制
3.检查(CHECK):监控控制的绩效,审查变化中环境的风险水平,执行内部信息安全管理体系审计
4.改进(ACTION):在信息安全管理体系过程方面实行改进,并对控制进行必要的改进,以满足环境的变化。
新版标准较BS7799-2:1999没有引入任何新的审核和认证要求,新标准完全兼容依据BS 7799-2:1999建立、实施和保持的信息安全管理体系(ISMS)。新版标准没有增加任何控制目标和控制方式,所有的控制目标和控制方式都是来自ISO/IEC 17799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面,而且采用了不同的编号方式,将BS7799-2:1999和ISO/IEC 17799:2000结合起来了。
信息安全管理标准:BS 7799
BS 7799主要提供了有效地实施IT安全管理的建议,介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,为公司发展、实施和估量有效的安全管理实践提供参考依据。该标准由英国标准协会(BSI)制定,是目前最“畅销”的标准。
英国标准协会是全球领先的国际标准、产品测试、体系认证机构。我们所熟知的ISO 9000(质量管理体系)、ISO 14001(环境管理体系)、OHSAS 18001(职业健康与安全管理体系)、QS-9000 / ISO/TS 16949(汽车供应行业的质量管理体系)以及TL 9000(电信供应行业的质量管理体系)均是由英国标准协会发起制定的,因此,如果企业已经实施了ISO 9000,就很容易整合实施其它的管理标准,当然也包括BS 7799。
BS 7799-1于1995年首次出版,标准规定了一套适用于工商业组织使用的信息系统的信息安全管理体系(ISMS)控制条件,包括网络和沟通中使用的信息处理技术,并提供了一套综合的信息安全实施规则,作为工商业组织的信息系统在大多数情况下所遵循的唯一参考基准,标准的内容定期进行评定。BS 7799:1999是1995版本的一个修订和扩展版本,它充分考虑了信息处理技术,尤其是网络和通信领域应用的最新发展,同时还强调了涉及商务的信息安全责任,扩展了新的控制。例如,新版本包括关于电子商务,移动计算机,远程工作和外部采办等领域的控制。
2000年12月,BS 7799-1通过国际化标准组织认可,正式成为国际标准ISO 17799,这是通过ISO 表决最快的一个标准,足见世界各国对该标准的关注和接受程度。目前,已有二十多个国家引用BS 7799-2作为国标,BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,其在欧洲的证书发放量已经超过ISO9001,越来越多的信息安全公司都以BS 7799 作指导为客户提供信息安全咨询服务。由此可见,BS 7799是国际上公认的信息安全管理标准。
应用案例:
目前全球获得BS 7799信息安全管理体系认证的企业不超过200家,国内企业更是少之又少。如何认识 BS 7799信息安全管理体系的应用呢?
A公司于1987年在香港成立,主要业务是为国内及海外客户全面提供五金冲压、模具制造、电脑中的精密仪器配件及相关组装产品。A公司的深圳工厂于1995年申请并获得BSI ISO 9002:1994版认证,在2001年升级为2000版,同时随后着手推行BS 7799信息安全管理体系。
A公司为什么要推行BS 7799呢?该公司高层认为,在商业竞争日趋激烈的环境下,来源于不同渠道的信息,威胁着信息的机密性、完整性和可用性。威胁可能来自内部、外部、意外的,还可能是恶意的。伴随信息储存等新技术的广泛使用,面临的各种风险也在增高。BS 7799是全面的管理体系,透过风险评估及127个控制,不但能确保企业持续营运,还能减少企业在面对类似‘911事件’、‘SARS’之时出现的危机”。因此推行信息安全管理首先是出于企业自身的要求,而非由于客户要求才推行的
