目录
|
BS 7799(ISO/IEC17799):即国际信息安全管理标准体系,2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由十个独立的部分组成,每一节都覆盖了不同的主题和区域。
由英国标准协会(BSI)编写的信息安全管理体系标准BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏,要从机构或企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使机构或企业的信息安全以最小代价达到需要的水准。保护信息安全,建立信息安全管理体系是机构或企业营运的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的参考依据,它以“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”模式,将管理体系规范导入机构或企业内,以达到“持续改进”的目的。
随着在世界范围内信息化水平的不断发展和贸易全球一体化的不断普及和深入,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分;在很多的场合,它已经成为一个组织生死存亡或贸易亏盈成败的起决定性的因素,因此信息安全逐渐成为人们关注的焦点。世界范围内的各国家、机构、组织、个人都在探寻如何保障信息安全的问题,各相关部门和研究机构也纷纷投入相当的人力、物力和资金试图来解决信息安全问题。
在组织的决策者想方设法保障本组织的信息安全的同时,破坏方总能道高一尺,魔高一丈,数不胜数的计算机病毒、防不胜防的电脑黑客、各类层出不穷的泄密事故就是明证。就拿我国来说,近年来也接连不断地出现了程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。
安全是一种"买不到"的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的,因此,一些企业虽然安装了一些安全产品,但并不等于拥有了一个真正的安全体系。而且相关调查数据显示,超过75%的信息系统泄密和恶意攻击事件都是人为造成的,即由于信息安全管理的缺位而造成的。而技术本身实际上只是信息安全体系里的一小部分。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。大部分的信息安全管理专家认为技术并不是不重要,但在信息安全的架构里,它一定要在好的信息安全管理的基础上,所以在业界素有三分技术,七分管理的说法。
正是在这样的世界大环境和学术界共同认同的原则下,各国的研究机构都纷纷研究和制定信息安全管理、风险评估、信息安全技术的标准,而英国标准化协会(BSI),这个在全世界标准界负有盛名的机构,在成功地为ISO9000、ISO14000、OHSAS18000等世界著名的标准打好基础后,又一次在信息安全管理领域拔得头筹,其制定的BS7799信息安全管理标准又一次成为国际上最具权威的和最具代表性的标准。
早在1995年2月,英国标准协会(BSI)就提出制定信息安全管理标准,并迅速于1995年5月制订完成,且于1999年重新修改了该标准。BS7799分为两个部分:BS7799-1,《信息安全管理实施规则》;BS7799-2《信息安全管理体系规范》;其中BS7799-1:1999于2000年12月通过ISO/IECJTC1(国际标准化组织和国际电工委员会的联合技术委员会)认可,正式成为国际标准,即ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。而在2002年9月5日英国标准化协会又发布了新版本BS7799-2:2002替代了BS7799-2:1999。
BS7799-1(ISO/IEC 1799:2000)《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。BS7799-2《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。正如该标准的适用范围介绍的一样,本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS7799-2明确提出信息安全管理要求,BS7799-1则对应给出了通用的控制方法(措施),因此,BS7799-2才是认证的依据,严格的说组织获得的认证是获得了BS7799-2的认证,BS7799-1为BS7799-2的具体实施提供了指南,但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。
BS7799-1:1999(ISO/IEC 1799:2000)标准在正文前设立了“前言”和“介绍”,其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明,标准中介绍,信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。保密性定义为保障信息仅仅为那些被授权使用的人获取。完整性定义为保护信息及其处理方法的准确性和完整性。可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。标准对“为什么需要信息安全”时介绍,信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DOS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。
该标准的正文规定了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。这127个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这十个方面分别是:
(1)安全方针:制定信息安全方针,为信息安全提供管理指导和支持。
(2)组织安全:建立信息安全基础设施,来管理组织范围内的信息安全;
维持被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,维护信息的安全。
(3)资产的分类与控制:核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。
(4)人员安全:注意工作职责定义和人力资源中的安全,以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,确保用户知道信息安全威胁和事务,并准备好在其正常工作过程中支持组织的安全政策;制定对安全事故和故障的响应流程,使安全事故和故障的损害减到最小,并监视事故和从事故中学习。
(5)物理和环境的安全:定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或泄露和业务活动的中断;同时还要做好一般控制,以防止信息和信息处理设施的泄露或盗窃。
(6)通信和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统故障的风险减低到最小;防范恶意软件,保护软件和信息的完整性;建立内务规程,以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全,以及保护其支持基础设施;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
(7)访问控制:制定访问控制的业务要求,以控制对信息的访问;建立全面的用户访问管理,避免信息系统的未授权访问;让用户了解他对维护有效访问控制的职责,防止未授权用户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,防止对计算机的未授权访问;建立应用访问控制,防止未授权用户访问保存在信息系统中的信息;监视系统访问和使用,检测未授权的活动;当使用移动计算和远程工作时,也要确保信息安全。
(8)系统开发和维护:标识系统的安全要求,确保安全被构建在信息系统内;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;使用密码控制,保护信息的保密性、真实性或完整性;控制对系统文件的访问,确保按安全方式进行IT项目和支持活动;严格控制开发和支持过程,维护应用系统软件和信息的安全。
(9)业务持续性管理:目的为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响。
(10)符合性:信息系统的设计、操作、使用和管理要符合法律要求,避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求;定期审查安全政策和技术符合性,确保系统符合组织安全政策和标准;还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。(待续)
BS7799-2:2002标准详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤,如图1所示:
(1)定义信息安全策略。
信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制
订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(2)定义ISMS的范围。
ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估。
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
(4)信息安全风险管理。
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;
避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;
转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
(5)确定管制目标和选择管制措施。
管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
(6)准备信息安全适用性声明。
信息安全适用性声明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
新版本同ISO9001:2000(质量管理体系)和ISO14001:1996(环境管理体系)等国际知名管理体系标准采用相同的风格,使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于:
PDCA(Plan Do Check Act)的模型;
基于PDCA模型的基于过程的方法;
对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述;
对ISMS持续过程改进的重要性;
文档和记录方面更清楚的需求;
风险评估和管理过程的改进;
对新版本使用提供指南的附录;
新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程,特别介绍了基于PDCA模型的过程管理方法,并在附录中为解释或采用新版标准提供了指南,如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。
新版标准较BS7799-2:1999没有引入任何新的审核和认证要求,新标准完全兼容依据BS7799-2:1999建立、实施和保持的信息安全管理体系(ISMS)。新版标准没有增加任何控制目标和控制方式,所有的控制目标和控制方式都是来自ISO/IEC 1799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面,而且采用了不同的编号方式将BS7799-2:1999和ISO/IEC 1799:2000结合起来了。
尽管ISO/IEC 17799是在很多国家的反对声中被采纳的,BS7799-1在转换成ISO/IEC 17799的过程中受到了包括美国等很多发达国家的反对;尽管国际信息安全界对ISO/IEC 17799的争议很多,而且目前已经有几个国家指出,ISO/IEC 17799的某些部分与其国家法律存在着冲突,尤其是在隐私领域,但其普及和推广已是势不可当,到目前为止已有二十多个国家引用BS7799-2作为国标,BS7799(ISO/IEC 17799)也是卖出拷贝最多的管理标准,越来越多的信息安全公司都以BS7799作指导为客户提供信息安全咨询服务。而且令人高兴的是ISO/IEC 17799不久它就会出新版本。截至目前全球已有41个国家和地区的878个组织获得了BS7799-2的认证,其中日本最多408家,英国其次157家,中国有49家,其中大陆9家,台湾25家,香港15家。全球已获得BS7799-2认证资格的认证机构有26个,认可机构有3个,分别为欧洲认可联盟(EA),国际认可联盟(IAF)以及英国的UKAS;目前我国还没有获得国际认可的认证机构。
信息安全管理体系的认证审核与环境、职业健康安全管理体系的审核类似,分两个阶段,多数认证机构在第三年需要进行重新审核,但BSI不需要。
BSI没有向ISO/IECJTC1提交BS7799-2,目前也没有迹象表明BSI是否会在将来提交。ISO/IECJTC1也还没有计划去制定ISO/IEC 17799-2。在类似于ISO/IEC 17799-2的标准被ISO/IECJTC1接受以前,不可能有“官方”的ISO/IEC 17799认证项目。
BS7799-2信息安全管理体系(ISMS)审核员的注册由国际注册审核员协会(IRCA)进行,分四个等级,分别为实习审核员、审核员、主任审核员、首席审核员;其中首席审核员分为两种,一种为咨询师,一种为组长,
值得关注的是其对咨询师的要求比对组长的要求要高的多。
我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化工作小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。
2002年4月,我国成立了“全国信息安全标准化技术委员会(TC260)”,该标委会是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。信息安全标委会设置了10个工作组,其中信息安全管理(含工程与开发)工作组(WG7)负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。目前,WG7工作组正在着手制定推荐性国家标准《信息技术信息安全管理实用规则》,该标准的采用程度为等同采用标准,也就是说该标准与ISO/IEC 17799相同,除了纠正排版或印刷错误、改变标点符号、增加不改变技术内容的说明和指示之外不改变标准技术的内容。
BS7799提供了一套综合的、由信息安全最佳措施组成的实施规则和管理要求,它广泛地涵盖了几乎所有的安全议题,非常适合于作为工商业及大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。虽然我国信息安全标委会不是将ISO/IEC 17799作为强制性国家标准引入,而是仅作为推荐性国家标准推行,但是企业和组织仍然可以将ISO/IEC 17799作为衡量信息安全管理体系规范程度的一个标准和指标。建立信息安全管理体系并获得经认可的认证机构的认证,不仅能提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小信息安全遭到破坏带来的损失,保证业务的可持续运作;并且能向客户及利益相关方展示组织对信息安全的承诺,增强投资方和股票持有者的投资信息,向政府及行业主管部门证明组织对相关法律法规的符合,并且得到国际上的承认。尤其对于银行、证券、电子商务、ISP等服务提供商来说,可以借此向客户展示其服务相比其他竞争对手更加安全、可靠,并树立和增强企业的信息安全形象,提高企业的综合竞争力。