本文主要介绍了信息安全管理标准BS7799的背景、结构体系、内涵及内容、实施步骤,并进行了简单的评价。
1、信息安全管理的重要意义
在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和企业组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。
但现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。
目前业界普遍认为,信息安全是企业和企业必须携手面对的问题。企业和企业管理层有责任确保为所有使用者提供一个安全的信息系统环境,而且,企业部门和企业在认识到安全的信息系统好处的同时,应该自我保护以避免使用信息系统时的固有风险。
中国工程院院长徐匡迪曾指出:“没有安全的工程就是豆腐渣工程”。今年我国接连不断地出现程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。
我国企业主管部门以及各行各业已经认识到了信息安全的重要性。企业部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由企业主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化工作小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。
我们回头来看,企业和各行各业对信息安全的重要性有了认识,相关的标准规范正在形成,投资力度在加大,安全技术、产品、市场在发展,多数企业机构正在制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划。那么,我们为什么依然没有安全感呢?!到底需要什么样的方法或机制来管理或治理信息安全呢?经过近一年对国内外信息安全和最佳实务的研究,我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制,它包括治理机制和治理结构,这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准,并且和相关的法律和规范一致。从后面的分析阐述中,我们可以看到有效的信息安全治理是非常必要的。
BS7799作为信息安全管理领域的一个权威标准,是全球业界一致公认的辅助信息安全治理的手段,该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架,这正是管理层能够接受并理解的,而此前与之对应的情形是:一旦出现信息安全事件,IT部门负责人就想到要采用最先进的信息安全技术,如购买先进的防火墙等等,客观上让人感觉到IT部门总是在花钱,这是管理层难以理解和不接受的。BS7799管理体系将IT策略和企业发展方向统一起来,确保IT资源用得其所,使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性,完整性和可用性来管理和保护组织的所有信息资产,通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制,组织按照这套标准管理信息安全风险,可持续提升管理的有效性和不断提升自身的信息安全管理水平,降低信息安全对持续发展造成的风险,最终保障组织的特定安全目标得以实现,进而利用信息技术为组织创造新的战略竞争机遇。
2、信息安全管理标准简介与适用范围
BS7799主要提供了有效地实施IT安全管理的建议,介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,为公司发展、实施和估量有效的安全管理实践提供参考依据。该标准是由英国标准协会(BSI)制定,是目前英国最畅销的标准。在此,我们顺便介绍一下英国标准协会,英国标准协会是全球领先的国际标准、产品测试、体系认证机构。我们所熟知的ISO9000(质量管理体系)、ISO14001(环境管理体系)、OHSAS18001(职业健康与安全管理体系)、QS-9000/ISO/TS16949(汽车供应行业的质量管理体系)以及TL9000(电信供应行业的质量管理体系)均是由英国标准协会发起制定的,因此,如果企业已经实施了ISO9000,就很容易整合实施其它的管理标准,当然也包括BS7799。
BS7799-1于1995年首次出版,标准规定了一套适用于工商业组织使用的信息系统的信息安全管理体系(ISMS)控制条件,包括网络和沟通中使用的信息处理技术,并提供了一套综合的信息安全实施规则,作为工商业组织的信息系统在大多数情况下所遵循的唯一参考基准,标准的内容定期进行评定。BS7799:1999是1995版本的一个修订和扩展版本,它充分考虑了信息处理技术,尤其是网络和通信领域应用的最新发展,同时还强调了涉及商务的信息安全责任,扩展了新的控制。例如,新版本包括关于电子商务,移动计算机,远程工作和外部采办等领域的控制。
2000年12月,BS7799-1通过国际化标准组织认可,正式成为国际标准ISO17799,这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。目前,已有二十多个国家引用BS7799-2作为国标,BS7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,其在欧洲的证书发放量已经超过ISO9001,越来越多的信息安全公司都以BS7799作指导为客户提供信息安全咨询服务。由此可见,BS7799是国际上当之无愧的信息安全管理标准。
在该标准中,信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。信息安全的涵义主要体现在以下三个方面:
安全性:确保信息仅可让授权获取的人士访问;
完整性:保护信息和处理方法的准确和完善;
可用性:确保授权人需要时可以获取信息和相应的资产。
BS7799信息安全管理体系标准强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式,导致的结果是不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失。而BS7799标准基于风险管理的思想,指导组织建立信息安全管理体系ISMS。ISMS是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。
(6)准备信息安全适用性声明。
信息安全适用性声明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
表1 BS 7799 的内容列表
标准
目的
内容
安全方针
为信息安全提供管理方向和支持。
建立安全方针文档
安全组织
建立组织内的管理体系以便安全管理。
组织内部信息安全责任;信息采集设施安全;可被第三方利用的信息资产的安全;外部信息安全评审;外包合同的安全。
资产分类与控制
维护组织资产的适当保护系统。
利用资产清单,分类处理,信息标签等对信息资产进行保护。
人员安全
减少人为造成的风险。
减少错误,偷窃,欺骗或资源误用等人为风险;保密协议;安全教育培训;安全事故与教训总结;惩罚措施。
物理与环境安全
防止对关于IT服务的未经许可的介入,损伤和干扰服务。
防止对关于IT服务的未经许可的介入,损伤和干扰服务。
通信与操作管理
保证通讯和操作设备的正确和安全维护。
确保信息处理设备的正确和安全的操作;降低系统失效的风险;保护软件和信息的完整性;维护信息处理和通讯的完整性和可用性;确保网络信息的安全措施和支持基础结构的保护; 防止资产被损坏和业务活动被干扰中断;防止组织间的交易信息遭受损坏,修改或误用。
访问控制
控制对商业信息的访问。
控制访问信息;阻止非法访问信息系统;确保网络服务得到保护;阻止非法访问计算机;检测非法行为;保证在使用移动计算机和远程网络设备时信息的安全。
系统开发与维护
保证系统开发与维护的安全
确保信息安全保护深入到操作系统中; 阻止应用系统中的用户数据的丢失,修改或误用;确保信息的保密性,可靠性和完整性;确保IT项目工程及其支持活动在安全的方式下进行;维护应用程序软件和数据的安全。
业务持续管理
防止商业活动中断和灾难事故的影响。
防止商业活动的中断;防止关键商业过程免受重大失误或灾难的影响。
符合性
避免任何违反法令、法规、合同约定及其他安全要求的行为。
避免违背刑法、民法、条例,遵守契约责任以及各种安全要求;确保组织系统符合安全方针和标准;使系统审查过程的绩效最大化,并将干扰因素降到最小。
3.3新版本BS7799-2:2002的特点
新版本BS7799-2:2002于2002年9月5日在英国发布。新版本同ISO9001:2000(质量管理体系)和ISO14001:1996(环境管理体系)等国际知名管理体系标准采用相同的风格,使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于:
PDCA(Plan-Do-Check-Act)的模型
基于PDCA模型的基于过程的方法
对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述
对ISMS持续过程改进的重要性
文档和记录方面更清楚的需求
风险评估和管理过程的改进
对新版本使用提供指南的附录
新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程,特别介绍了基于PDCA模型的过程管理方法,并在附录中为解释或采用新版标准提供了指南,如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提升。PDCA模型的主要过程如下:
1.计划(PLAN):定义信息安全管理体系的范围,鉴别和评估业务风险
2.实施(DO):实施同意的风险治理活动以及适当的控制
3.检查(CHECK):监控控制的绩效,审查变化中环境的风险水平,执行内部信息安全管理体系审计
4.改进(ACTION):在信息安全管理体系过程方面实行改进,并对控制进行必要的改进,以满足环境的变化。
新版标准较BS7799-2:1999没有引入任何新的审核和认证要求,新标准完全兼容依据BS7799-2:1999建立、实施和保持的信息安全管理体系(ISMS)。新版标准没有增加任何控制目标和控制方式,所有的控制目标和控制方式都是来自ISO/IEC17799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面,而且采用了不同的编号方式,将BS7799-2:1999和ISO/IEC17799:2000结合起来了。
4、BS7799的简单评价
BS7799提供了一个组织进行有效安全管理的公共基础,反映了信息安全的“三分技术,七分管理”的原则。它全面涵盖了信息系统日常安全管理方面的内容,提供了一个可持续提升的信息安全管理环境。包括安全管理的注意事项和安全制度,例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理制度易于理解,一般的单位都可以制定,具有可操作性,推广信息安全管理标准的关键在于重视程度和制度落实方面。
BS7799是对一个组织进行全面信息安全评估的基础,可以作为组织实施信息安全管理的一项体制。它规定了建立、实施信息安全管理体系的文档,以及如何根据组织的需要进行安全控制,可以作为一个非正式认证方案的基础。
然而,BS7799仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的ISMS,才是真正具有挑战性的工作。BS7799在标准里描述的所有控制方式并非都适合于每种情况,它不可能将当地系统、环境和技术限制考虑在内,也不可能适合一个组织中的每个潜在的用户,因此,这个标准还需结合实际情况进一步加以补充。
此外,信息安全管理建立在风险评估的基础上,而风险评估本身是一个复杂的过程,不同组织面临不同程度和不同类型的风险,风险的测度需要有效的方法支持,因此按照该标准衡量一个系统还需要一些相关技术的配合。
5、信息安全管理体系的实施
实施管理体系需要切实可行的计划以及管理高层的支持。对于所有的管理体系,在实施的过程中都是运用相近的工具和相同的方法来完成。因此,以下内容同样适用于其它管理体系的实施。
5.1了解BS7799管理体系及其要求
管理层支持
所有员工都与决定实施BS7799管理体系有关,并要求对体系所包括的内容有一定的了解。典型的例子是:当第一次实施BS7799管理体系时,管理高层决定实施,但实际实施的职责将落在实施经理的身上,如信息中心主任。理想的情况是,实施BS7799管理体系应由见多识广的管理高层来决定,他们的支持须贯穿于整个实施管理体系的长期过程中。
提升对管理体系的理解
所有实施体系的人员应了解标准并熟练掌握,因此需要将BS7799印刷多份并分发给参与体系实施的每一个人员,所有人员从仔细阅读BS7799标准,通过召开例会学习BS7799的总体内容,并藉此进行安全意识训练。在这个阶段,还可以通过专家讲座的形式,如管理高层亲自参加一天的介绍性的培训课程,这对体系的建立是有很大的好处,同时实施经理也会受益非浅,但如果能够参加更详细培训,毫无疑问这将更有利于BS7799标准的实施。
5.2实施体系
选择性的支持服务和书籍
当真正决定开始实施信息安全管理体系时,参与培训课程和购买书籍是必不可少的。不过目前有不少企业为了实施的有效性,会选择聘请顾问公司来帮助建立信息安全管理体系。顾问公司可以在实施的全过程和怎样建立一套最适合客户业务发展的管理体系中起到协助的作用,并为客户提供更多的增值服务。
员工对信息安全管理体系的培训和掌握
在实施的过程中,全体员工对信息安全管理体系的认识是非常重要的。如他们的日常工作是什么和对其有什么影响。故培训课程对这方面是很有帮助的,另外有不少企业还会要求开发一些符合其自己特殊需求的课程。
5.3申请信息安全管理体系的认证
一量信息安全管理体系开始运行,为了确保其长期有效的运行,获得第三方认证机构的认证是必要的。
选择合适的认证机构
选择认证机构是一个综合考虑多种因素的复杂过程,选择一个最适合和最能满足自己需要的认证机构是非常重要的一步,通常需要考虑因素如下:
地域的覆盖—-某些认证机构只是覆盖较小的地域,但其它的认证机构则是在全球开展其业务。
行业经验—-一些认证机构在各行各业都有审核人员,但某些只是在少数行业内有审核人员。
获得认可机构的认可—-某些认证机构是没有获得认可的,有些则获得少数认可机构的认可,有些则获得很多认可,当然获得更多认可对申请认证的企业非常重要。
价格的结成和比率—-某些认证机构改变正常的费用,有些则不同。应着眼于多年的总计费用,而并不只是第一年的费用。
申请认证的过程
一旦选定适合您的认证机构后,认证的过程通常包括以下的步骤:
选择性的预备审核
正式审核
审核结果
监督审核
多数认证机构在第三年须要进行重新审核,但BSI不需要。
5.4推广和维护既有的信息安全管理体系
经过努力的工作,获得管理体系的证书,并不只是企业内部受益,可以向客户或利益相关方提供己方符合信息安全管理国际标准的证据,使组织获得期望的信赖。为使信息安全管理体系保持有效,组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正、预防行动及管理评审信息来持续地维护和改善ISMS的有效性。另外,为了维持证书的有效性,维持和持续改善贯穿于整个监督审核的全过程。
结束语
信息安全管理是一种“买不到”的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。建立一个有效的信息安全体系首先需要在好的信息安全治理的基础上,其次要制定出相关的管理策略和规章制度,然后才是在安全产品的帮助下搭建起整个架构。相反,就不可能得到一个真正意义上的安全防护体系。这些单位可能安装了一些安全产品,但并没有一个安全的体系,因为没有建立它的基础。