BS7799是一套基于最佳实践的成功的信息安全管理体系方法,她最早由英国商务部推动,由BSI将其发展成为标准。BS7799共分两部分,第一部分已经在2000年被采纳为ISO17799,是信息安全管理实践指南,第二部分BS7799-2是信息安全管理体系规范,换言之,第二部分告诉我们应该做什么,第一部分则提供了一些如何做或者好做法的指导。
BS7799汇集了优秀企业最佳实践,规范了10个安全控制区域,36个安全控制目标和127个安全控制措施。她以风险评估为基础,自顶向下的管理方法,从组织、人员、流程、技术、法律法规、永续经营等全方位实施的管理体系。
我们构建一个信息安全管理体系,需要考虑以下几个步骤:
1. 定义范围
2. 定义方针
3. 确定风险评估的方法
4. 识别风险
5. 评估风险
6. 识别并评估风险处理的措施
7. 为处理风险选择控制目标和控制措施
8. 准备适用性声明
而构建一个成功的信息安全管理体系的关键成功因素在于:
1. 最高领导层对管理体系的承诺;
2. 体系与整个组织文化的一致性,与业务营运目标的一致性;
3. 理清职责权限;
4. 有效的宣传、培训,提升意识,不仅要针对内部员工,也要针对合作伙伴、供应商、外包服务商等。
5. 盘清信息资产、明确信息安全的要求,明晰风险评估和处理的方法和流程;
6. 均衡的测量监控体系,持续监控各种变化,从监控结果中寻求持续改进的机会。
信息安全管理体系当前的发展:
BS7799-2可以提供认证服务,该标准是当前唯一可以提供对组织的信息安全管理体系的认证标准。在实施了一套信息安全管理体系之后,可以籍由第三方独立认证,向社会、向公众、向客户证实所实施体系的有效性和效果,提供信心保障。
当前全球已经颁发了超过1000张证书,并且这个数字正在不断增长中,证书主要集中在日本、英国、印度、台湾。证书的分布主要在政府、金融、通信、电子、物流等行业。我国已经颁发证书10张,当前正处于一个蓄势待发的阶段。
BS7799标准已经被很多国家和地区采纳为国家标准或地区标准,如日本、台湾等地。我国在这方面的工作也在进展中。
