分类:
2009-05-04 13:13:12
信息安全管理体系规范 BS7799-2:2002标准
BS7799-2:2002标准详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤,如图1所示:
(1)定义信息安全策略。
信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制
订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(2)定义ISMS的范围。
ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估。
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
(4)信息安全风险管理。
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;
避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;
转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
(5)确定管制目标和选择管制措施。
管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
(6)准备信息安全适用性声明。
信息安全适用性声明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
BS7799-2:2002的特点
新版本同ISO9001:2000(质量管理体系)和ISO14001:1996(环境管理体系)等国际知名管理体系标准采用相同的风格,使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于:
PDCA(Plan Do
Check Act)的模型;
基于PDCA模型的基于过程的方法;
对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述;
对ISMS持续过程改进的重要性;
文档和记录方面更清楚的需求;
风险评估和管理过程的改进;
对新版本使用提供指南的附录;
新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程,特别介绍了基于PDCA模型的过程管理方法,并在附录中为解释或采用新版标准提供了指南,如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。
新版标准较BS7799-2:1999没有引入任何新的审核和认证要求,新标准完全兼容依据BS7799-2:1999建立、实施和保持的信息安全管理体系(ISMS)。新版标准没有增加任何控制目标和控制方式,所有的控制目标和控制方式都是来自ISO/IEC 1799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面,而且采用了不同的编号方式将BS7799-2:1999和ISO/IEC 1799:2000结合起来了。
BS7799信息安全管理标准开展的现状
尽管ISO/IEC 17799是在很多国家的反对声中被采纳的,BS7799-1在转换成ISO/IEC 17799的过程中受到了包括美国等很多发达国家的反对;尽管国际信息安全界对ISO/IEC 17799的争议很多,而且目前已经有几个国家指出,ISO/IEC 17799的某些部分与其国家法律存在着冲突,尤其是在隐私领域,但其普及和推广已是势不可当,到目前为止已有二十多个国家引用BS7799-2作为国标,BS7799(ISO/IEC
17799)也是卖出拷贝最多的管理标准,越来越多的信息安全公司都以BS7799作指导为客户提供信息安全咨询服务。而且令人高兴的是ISO/IEC
17799不久它就会出新版本。截至目前全球已有41个国家和地区的878个组织获得了BS7799-2的认证,其中日本最多408家,英国其次157家,中国有49家,其中大陆9家,台湾25家,香港15家。全球已获得BS7799-2认证资格的认证机构有26个,认可机构有3个,分别为欧洲认可联盟(EA),国际认可联盟(IAF)以及英国的UKAS;目前我国还没有获得国际认可的认证机构。
信息安全管理体系的认证审核与环境、职业健康安全管理体系的审核类似,分两个阶段,多数认证机构在第三年需要进行重新审核,但BSI不需要。
BSI没有向ISO/IECJTC1提交BS7799-2,目前也没有迹象表明BSI是否会在将来提交。ISO/IECJTC1也还没有计划去制定ISO/IEC 17799-2。在类似于ISO/IEC
17799-2的标准被ISO/IECJTC1接受以前,不可能有“官方”的ISO/IEC
17799认证项目。
BS7799-2信息安全管理体系(ISMS)审核员的注册由国际注册审核员协会(IRCA)进行,分四个等级,分别为实习审核员、审核员、主任审核员、首席审核员;其中首席审核员分为两种,一种为咨询师,一种为组长,
值得关注的是其对咨询师的要求比对组长的要求要高的多。
我国在信息安全管理标准方面采取的措施
我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化工作小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。
2002年4月,我国成立了“全国信息安全标准化技术委员会(TC260)”,该标委会是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。信息安全标委会设置了10个工作组,其中信息安全管理(含工程与开发)工作组(WG7)负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。目前,WG7工作组正在着手制定推荐性国家标准《信息技术信息安全管理实用规则》,该标准的采用程度为等同采用标准,也就是说该标准与ISO/IEC
17799相同,除了纠正排版或印刷错误、改变标点符号、增加不改变技术内容的说明和指示之外不改变标准技术的内容。
上海杰尔雅企业管理咨询有限公司简称“上海杰尔雅”或“JRY”,JRY是由沪上一支专业的咨询人员组建而成;拥有自己的认证、咨询、培训团队。公司于2006年加入国家人事部培训师、企业教练开发、培训之列,同时于2007年被国家劳动的社会保障部1+N复合型人才项目办公室授予CAC教学基地。
管理培训:各体系内审员(ISO9001、ISO14001、OHSAS18001、TS16949、ISO22000、ISO27001)、ISO14001与OHSAS18001法律法规解读、危险源辩识、环境因素识别、质量管理专员、HR经理人(初、中级)、管理者代表、质量管理工具、五大核心工具、班组长、供应商评价、检验员、计量管理员、采购管理师、仓管员等。
体系认证:ISO9001:2008质量管理体系、ISO14001:2004环境管理体系、OHSAS18001:2007职业健康安全管理体系、ISO/TS16949:2002汽车质量管理体系、ISO22000:2005(HACCP)食品安全管理体系、ISO27001:2005信息安全管理体系、QC080000有害物质过程管理体系、ISO13485:2003医疗器械质量管理体系
详情咨询:021-29981672
联系人:余老师 13818043260
传真:021-61453819
公司地址:上海市徐汇区沪闵路8075号虹梅商务大厦409A