BS7799-1(ISO/IEC 1799:2000)《信息安全管理實施細則》是組織建立並實施信息安全管理體系的壹個指導性的準則,主要為組織制定其信息安全策略和進行有效的信息安全控制提供了壹個大眾化的最佳慣例。BS7799-2《信息安全管理體系規範》規定了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。正如該標準的適用範圍介紹的壹樣,本標準適用以下場合:組織按照本標準要求建立並實施信息安全管理體系,進行有效的信息安全風險管理,確保商務可持續性發展;作為尋求信息安全管理體系第三方認證的標準。BS7799-2明確提出信息安全管理要求,BS7799-1則對應給出了通用的控制方法(措施),因此,BS7799-2才是認證的依據,嚴格的說組織獲得的認證是獲得了BS7799-2的認證,BS7799-1為BS7799-2的具體實施提供了指南,但標準中的控制目標、控制方式的要求並非信息安全管理的全部,組織可以根據需要考慮另外的控制目標和控制方式。
BS7799-1:1999《信息安全管理實施細則》內容介紹
BS7799-1:1999(ISO/IEC 1799:2000)標準在正文前設立了“前言”和“介紹”,其“介紹”中“對什麽是信息安全、為什麽需要信息安全、如何確定安全需要、評估安全風險、選擇控制措施、信息安全起點、關鍵的成功因素、制定自己的準則”等內容作了說明,標準中介紹,信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。保密性定義為保障信息僅僅為那些被授權使用的人獲取。完整性定義為保護信息及其處理方法的準確性和完整性。可用性定義為保障授權使用人在需要時可以獲取信息和使用相關的資產。標準對“為什麽需要信息安全”時介紹,信息、信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。然而,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大範圍的安全威脅,諸如計算機病毒、計算機入侵、DOS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公***和私人網絡的互連及信息資源的***享增大了實現訪問控制的難度。許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持。
該標準的正文規定了127個安全控制措施來幫助組織識別在運作過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。這127個控制措施被分成10個方面,成為組織實施信息安全管理的實用指南,這十個方面分別是:
(1)安全方針:制定信息安全方針,為信息安全提供管理指導和支持。
(2)組織安全:建立信息安全基礎設施,來管理組織範圍內的信息安全;
維持被第三方所訪問的組織的信息處理設施和信息資產的安全,以及當信息處理外包給其他組織時,維護信息的安全。
(3)資產的分類與控制:核查所有信息資產,以維護組織資產的適當保護,並做好信息分類,確保信息資產受到適當程度的保護。
(4)人員安全:註意工作職責定義和人力資源中的安全,以減少人為差錯、盜竊、欺詐或誤用設施的風險;做好用戶培訓,確保用戶知道信息安全威脅和事務,並準備好在其正常工作過程中支持組織的安全政策;制定對安全事故和故障的響應流程,使安全事故和故障的損害減到最小,並監視事故和從事故中學習。
(5)物理和環境的安全:定義安全區域,以避免對業務辦公場所和信息的未授權訪問、損壞和幹擾;保護設備的安全,防止信息資產的丟失、損壞或泄露和業務活動的中斷;同時還要做好壹般控制,以防止信息和信息處理設施的泄露或盜竊。
(6)通信和操作管理:制定操作規程和職責,確保信息處理設施的正確和安全操作;建立系統規劃和驗收準則,將系統故障的風險減低到最小;防範惡意軟件,保護軟件和信息的完整性;建立內務規程,以維護信息處理和通信服務的完整性和可用性;確保信息在網絡中的安全,以及保護其支持基礎設施;建立媒體處置和安全的規程,防止資產損壞和業務活動的中斷;防止信息和軟件在組織之間交換時丟失、修改或誤用。
(7)訪問控制:制定訪問控制的業務要求,以控制對信息的訪問;建立全面的用戶訪問管理,避免信息系統的未授權訪問;讓用戶了解他對維護有效訪問控制的職責,防止未授權用戶的訪問;對網絡訪問加以控制,保護網絡服務;建立操作系統級的訪問控制,防止對計算機的未授權訪問;建立應用訪問控制,防止未授權用戶訪問保存在信息系統中的信息;監視系統訪問和使用,檢測未授權的活動;當使用移動計算和遠程工作時,也要確保信息安全。
(8)系統開發和維護:標識系統的安全要求,確保安全被構建在信息系統內;控制應用系統的安全,防止應用系統中用戶數據的丟失、被修改或誤用;使用密碼控制,保護信息的保密性、真實性或完整性;控制對系統文件的訪問,確保按安全方式進行IT項目和支持活動;嚴格控制開發和支持過程,維護應用系統軟件和信息的安全。
(9)業務持續性管理:目的為了減少業務活動的中斷,使關鍵業務過程免受主要故障或天災的影響。
(10)符合性:信息系統的設計、操作、使用和管理要符合法律要求,避免任何犯罪、違反民法、違背法規、規章或合約義務以及任何安全要求;定期審查安全政策和技術符合性,確保系統符合組織安全政策和標準;還要控制系統審核,使系統審核過程的效力最大化,幹擾最小化。
BS7799-2:2002《信息安全管理體系規範》內容介紹
BS7799-2:2002標準詳細說明了建立、實施和維護信息安全管理系統(ISMS)的要求,指出實施組織需遵循某壹風險評估來鑒定最適宜的控制對象,並對自己的需求采取適當的控制。本部分提出了應該如何建立信息安全管理體系的步驟,如圖1所示:
(1)定義信息安全策略。
信息安全策略是組織信息安全的最高方針,需要根據組織內各個部門的實際情況,分別制訂不同的信息安全策略。例如,規模較小的組織單位可能只有壹個信息安全策略,並適用於組織內所有部門、員工;而規模大的集團組織則需要制
訂壹個信息安全策略文件,分別適用於不同的子公司或各分支機構。信息安全策略應該簡單明了、通俗易懂,並形成書面文件,發給組織內的所有成員。同時要對所有相關員工進行信息安全策略的培訓,對信息安全負有特殊責任的人員要進行特殊的培訓,以使信息安全方針真正植根於組織內所有員工的腦海並落實到實際工作中。
(2)定義ISMS的範圍。
ISMS的範圍確定需要重點進行信息安全管理的領域,組織需要根據自己的實際情況,在整個組織範圍內、或者在個別部門或領域構架ISMS。在本階段,應將組織劃分成不同的信息安全控制領域,以易於組織對有不同需求的領域進行適當的信息安全管理。
(3)進行信息安全風險評估。
信息安全風險評估的復雜程度將取決於風險的復雜程度和受保護資產的敏感程度,所采用的評估措施應該與組織對信息資產風險的保護需求相壹致。風險評估主要對ISMS範圍內的信息資產進行鑒定和估價,然後對信息資產面對的各種威脅和脆弱性進行評估,同時對已存在的或規劃的安全管制措施進行鑒定。風險評估主要依賴於商業信息和系統的性質、使用信息的商業目的、所采用的系統環境等因素,組織在進行信息資產風險評估時,需要將直接後果和潛在後果壹並考慮。
(4)信息安全風險管理。
根據風險評估的結果進行相應的風險管理。信息安全風險管理主要包括以下幾種措施:
降低風險:在考慮轉嫁風險前,應首先考慮采取措施降低風險;
避免風險:有些風險很容易避免,例如通過采用不同的技術、更改操作流程、采用簡單的技術措施等;
轉嫁風險:通常只有當風險不能被降低或避免、且被第三方(被轉嫁方)接受時才被采用。壹般用於那些低概率、但壹旦風險發生時會對組織產生重大影響的風險。
接受風險:用於那些在采取了降低風險和避免風險措施後,出於實際和經濟方面的原因,只要組織進行運營,就必然存在並必須接受的風險。
(5)確定管制目標和選擇管制措施。
管制目標的確定和管制措施的選擇原則是費用不超過風險所造成的損失。由於信息安全是壹個動態的系統工程,組織應實時對選擇的管制目標和管制措施加以校驗和調整,以適應變化了的情況,使組織的信息資產得到有效、經濟、合理的保護。
(6)準備信息安全適用性聲明。
信息安全適用性聲明紀錄了組織內相關的風險管制目標和針對每種風險所采取的各種控制措施。信息安全適用性聲明的準備,壹方面是為了向組織內的員工聲明對信息安全面對的風險的態度,在更大程度上則是為了向外界表明組織的態度和作為,以表明組織已經全面、系統地審視了組織的信息安全系統,並將所有有必要管制的風險控制在能夠被接受的範圍內。
BS7799-2:2002的特點
新版本同ISO9001:2000(質量管理體系)和ISO14001:1996(環境管理體系)等國際知名管理體系標準采用相同的風格,使信息安全管理體系更容易和其它的管理體系相協調。新版標準的主要更新在於:
PDCA(Plan Do Check Act)的模型;
基於PDCA模型的基於過程的方法;
對風險評估過程、控制選擇和適用性聲明的內容與相互關系的闡述;
對ISMS持續過程改進的重要性;
文檔和記錄方面更清楚的需求;
風險評估和管理過程的改進;
對新版本使用提供指南的附錄;
新版本在介紹信息安全管理體系的建立、實施和改進的過程中也引用了PDCA模型,按照PDCA模型將信息安全管理體系分解成風險評估、安全設計與執行、安全管理和再評估四個子過程,特別介紹了基於PDCA模型的過程管理方法,並在附錄中為解釋或采用新版標準提供了指南,如圖2所示。組織通過持續的執行這些過程而使自身的信息安全水平得到不斷的提高。
新版標準較BS7799-2:1999沒有引入任何新的審核和認證要求,新標準完全兼容依據BS7799-2:1999建立、實施和保持的信息安全管理體系(ISMS)。新版標準沒有增加任何控制目標和控制方式,所有的控制目標和控制方式都是來自ISO/IEC 1799:2000。只是新版標準將原來BS7799-2:1999的第四部分作為附件A放在了標準後面,而且采用了不同的編號方式將BS7799-2:1999和ISO/IEC 1799:2000結合起來了。