BS7799信息安全管理体系介绍
BS7799是英国标准协会(British Standards Institute,BSI)于1995年2月制定的信息安全标准,1999年5月,BSI对BS 7799进行了修订改版,发展成为后来最主要的一个版本,2000年12月,BS 7799内容中的第一部分被ISO采纳,正式成为ISO/IEC 17799标准。
BS7799分两个部分
第一部分,也就是纳入到ISO/IEC 17799:2000标准的部分,是信息安全管理实施细则
(Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员作为参考使用,其中分十个标题,定义了127个安全控制。
BS7799-1:1999(ISO/IEC 17799:2000)中的十个内容标题分别是
安全策略 Security policy
资产和资源的组织 Organization of assets and resources
人员安全 Personnel security
物理和环境安全 Physical and environmental security
通信和操作管理 Communication and operation management
访问控制 Access control
系统开发和维护 System development and maintenance
业务连续性管理 Business continuity management
符合性 Compliance
第二部分,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的认证(对依据BS7799-2建立的ISMS进行认证),还有一系列相应的注册认证过程。目前,BS 7799-2的2002年版本已经递交ISO组织,可望成为国际标准。
BS7799标准要求基于PDCA管理模型来建立和维护信息安全管理体系(ISMS)。为了实现ISMS,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。
BS7799标准产生的背景及其产生
BS 7799(ISO/IEC17799):即国际信息安全管理标准体系,2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由十个独立的部分组成,每一节都覆盖了不同的主题和区域。
由英国标准协会(BSI)编写的信息安全管理体系标准BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏,要从机构或企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使机构或企业的信息安全以最小代价达到需要的水准。保护信息安全,建立信息安全管理体系是机构或企业营运的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的参考依据,它以“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”模式,将管理体系规范导入机构或企业内,以达到“持续改进”的目的。
随着在世界范围内信息化水平的不断发展和贸易全球一体化的不断普及和深入,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分;在很多的场合,它已经成为一个组织生死存亡或贸易亏盈成败的起决定性的因素,因此信息安全逐渐成为人们关注的焦点。世界范围内的各国家、机构、组织、个人都在探寻如何保障信息安全的问题,各相关部门和研究机构也纷纷投入相当的人力、物力和资金试图来解决信息安全问题。
在组织的决策者想方设法保障本组织的信息安全的同时,破坏方总能道高一尺,魔高一丈,数不胜数的计算机病毒、防不胜防的电脑黑客、各类层出不穷的泄密事故就是明证。就拿我国来说,近年来也接连不断地出现了程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。
安全是一种"买不到"的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的,因此,一些企业虽然安装了一些安全产品,但并不等于拥有了一个真正的安全体系。而且相关调查数据显示,超过75%的信息系统泄密和恶意攻击事件都是人为造成的,即由于信息安全管理的缺位而造成的。而技术本身实际上只是信息安全体系里的一小部分。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。大部分的信息安全管理专家认为技术并不是不重要,但在信息安全的架构里,它一定要在好的信息安全管理的基础上,所以在业界素有三分技术,七分管理的说法。
正是在这样的世界大环境和学术界共同认同的原则下,各国的研究机构都纷纷研究和制定信息安全管理、风险评估、信息安全技术的标准,而英国标准化协会(BSI),这个在全世界标准界负有盛名的机构,在成功地为ISO9000、ISO14000、OHSAS18000等世界著名的标准打好基础后,又一次在信息安全管理领域拔得头筹,其制定的BS7799信息安全管理标准又一次成为国际上最具权威的和最具代表性的标准。
早在1995年2月,英国标准协会(BSI)就提出制定信息安全管理标准,并迅速于1995年5月制订完成,且于1999年重新修改了该标准。BS7799分为两个部分:BS7799-1,《信息安全管理实施规则》;BS7799-2《信息安全管理体系规范》;其中BS7799-1:1999于2000年12月通过ISO/IECJTC1(国际标准化组织和国际电工委员会的联合技术委员会)认可,正式成为国际标准,即ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。而在2002年9月5日英国标准化协会又发布了新版本BS7799-2:2002替代了BS7799-2:1999。
BS7799-1与BS7799-2的关系
BS7799-1(ISO/IEC 1799:2000)《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。
BS7799-2《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规