IT治理信息安全管理：标准、理解与实施 (2)

　　· 安全性：确保信息仅可让授权获取的人士访问；

　　· 完整性：保护信息和处理方法的准确和完善；

　　· 可用性：确保授权人需要时可以获取信息和相应的资产。

　　BS 7799信息安全管理体系标准强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式，导致的结果是不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失。而BS 7799标准基于风险管理的思想，指导组织建立信息安全管理体系ISMS。ISMS是一个系统化、程序化和文件化的管理体系，基于系统、全面、科学的安全风险评估，体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要求，强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产，使信息风险的发生概率和结果降低到可接受收水平，确保信息的保密性、完整性和可用性，保持组织业务运作的持续性。

[page]

3 BS 7799的主要内容

　　下面主要以BS 7799：1999为例介绍标准的主要内容。该标准主要由两大部分组成：BS 7799-1：1999，以及BS 7799-2：1999。

3.1 第一部分（BS 7799-1）简介

　　信息安全管理实施规则，是作为国际信息安全指导标准ISO/IEC 17799基础的指导性文件，主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。这一部分包括十大管理要项，三十六个执行目标，一百二十七种控制方法，如图一所示。其详细内容如表1所示：

　　

　　　 附注：(m，n)－ m：执行目标的数目 n：控制方法的数目

　　图一 十大管理要项图

　　　

　　表1 BS 7799 的内容列表

3.2 第二部分（BS 7799-2）简介

　　信息安全管理系统的规范，详细说明了建立、实施和维护信息安全管理系统（ISMS）的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。本部分提出了应该如何了建立信息安全管理体系的步骤，如图1所示：

　

　　(1)定义信息安全策略

　　信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略。例如，规模较小的组织单位可能只有一个信息安全策略，并适用于组织内所有部门、员工；而规模大的集团组织则需要制订一个信息安全策略文件，分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂，并形成书面文件，发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训，对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。

　　(2)定义ISMS的范围

　　ISMS的范围确定需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。

　　(3)进行信息安全风险评估

　　信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素，组织在进行信息资产风险评估时，需要将直接后果和潜在后果一并考虑。

　　(4)信息安全风险管理

　　根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施：

　　降低风险：在考虑转嫁风险前，应首先考虑采取措施降低风险；

　　避免风险：有些风险很容易避免，例如通过采用不同的技术、更改操作流程、采用简单的技术措施等；

　　转嫁风险：通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。

　　接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。

　　(5)确定管制目标和选择管制措施。

　　管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程，组织应实时对选择的管制目标和管制措施加以校验和调整，以适应变化了的情况，使组织的信息资产得到有效、经济、合理的保护。

　　(6)准备信息安全适用性声明。

　　信息安全适用性声明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备，一方面是为了向组织内的员工声明对信息安全面对的风险的态度，在更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统地审视了组织的信息安全系统，并将所有有必要管制的风险控制在能够被接受的范围内。

3.3 新版本BS 7799-2:2002的特点

　　新版本BS 7799-2:2002于2002年9月5日在英国发布。新版本同ISO 9001:2000(质量管理体系) 和ISO 14001:1996（环境管理体系）等国际知名管理体系标准采用相同的风格，使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于：

　　·PDCA(Plan-Do-Check-Act)的模型

　　·基于PDCA模型的基于过程的方法

　　·对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有