本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
1.1. 信息安全管理标准BS7799概述
1.1.1 BS7799的历史
英国标准协会(BSI)于1999年2月提出了BS7799《信息安全管理体系标准》(Code of Practice for Information Security), 并于1993年由英国贸易工业部立项,组织大企业的信息安全经理制定了世界上第一个信息安全管理体系标准-BS7799-1:1995信息安全管理实施规则, 它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定企业信息系统在大多数情况下,所需控制范围的唯一参考基准,并且适用于大、中、小型组织。
由于该标准采用指导和建议的方式编写,因而不宜作为认证标准使用;1998年为了适应第三方认证的需求,英国又制定了世界上第一个信息安全管理体系认证标准BS7799-2:1998信息安全管理体系规范,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。
1999年,鉴于信息处理技术在网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1:1999取代了BS7799-1:1995标准,修订后的BS7799-2:1999取代了BS7799-2:1998标准。1999版标准特别强调了业务工作所涉及的信息安全和信息安全的责任。BS7799-1:1999与BS7799-2:1999是一对配套的标准,其中BS7799-1:1999对如何建立并实施符合BS7799-2:1999标准要求的信息安全管理体系提供了最佳的应用建议。
当年10月,英国标准协会(BSI)将BS7799提交国际标准化组织,国际标准化组织已于2001年2月正式将该标准转化成国际标准ISO/IEC17799。目前世界上包括中国在内的绝大多数政府签署协议支持并认可ISO/IEC17799标准。 2002年9月5日 ,BS7799-2:2002终于发布成为正式标准,BS7799-2:2002进行了重大改版,引入了国际上通行的管理模式-过程方法和PDCA持续改进模式。
ISO17799确立的信息安全管理体系目前在国际上己成为通行的信息安全管理体系标准,它强调管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照,是建立和实施信息安全管理体系(ISMS),保障组织、政府机构信息安全的重要手段。ISO17799包含了安全方针的拟定、安全责任的归属、风险的评估与确定、强化安全参数及存取控制 ,提供了127种安全控制供用户选择和使用。标准自公布以来,英国、瑞典、中国、美国、澳大利亚、德国、日本、巴西、荷兰、新西兰和挪威等国已开始采用。已有政府机构、银行、保险公司、电信企业、网络公司及许多跨国公司纷纷采用,并收到了良好的效果。
1998年,英国国家认可机构UKAS制定了BS7799认可计划,开始对符合条件的认证机构进行认可,由经认可的认证机构在英国本土对较大的企业进行信息安全管理体系认证试点。1999年,瑞典亦依据BS7799标准,制定了信息安全管理体系认可计划。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。
目前BS 7799作为信息安全管理领域的一个权威标准,是全球业界一致公认的辅助信息安全治理的手段,该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言,以及保护信息资产的制度框架,这正是管理层能够接受并理解的,而此前与之对应的情形是:一旦出现信息安全事件,IT部门负责人就想到要采用最先进的信息安全技术,如购买先进的防火墙等等,客观上让人感觉到IT部门总是在花钱,对此管理层通常难以理解和接受。
BS 7799 管理体系将IT策略和企业发展方向统一起来,确保IT资源用得其所,使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性、完整性和可用性来管理和保护组织的所有信息资产,通过方针、策略、程序、组织结构和软件功能来确定控制方式并实施控制。组织按照这套标准管理信息安全风险,可持续提高管理的有效性,和不断提高自身的信息安全管理水平,降低信息安全对持续发展造成的风险,最终保障组织的特定安全目标得以实现,进而利用信息技术为组织创造新的战略竞争机遇。
BS 7799主要提供了有效地实施IT安全管理的建议,介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,为公司发展、实施和估量有效的安全管理实践提供参考依据。
目前,已有二十多个国家引用BS 7799-2作为国标,BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,其在欧洲的证书发放量已经超过ISO9001,越来越多的信息安全公司都以BS 7799 作指导为客户提供信息安全咨询服务。1999年8月,中国进出口质量认证中心(CQC)厦门评审中心邀请挪威船级社(DNV),首次在中国举办了BS7799信息安全管理体系培训班。1999年10月,中国进出口质量认证中心厦门评审中心与中国人民保险公司厦门市分公司签订了中国第一份BS7799信息安全管理体系认证协议,使中国成为世界上第三个开展信息安全管理体系认证的国家。截至2003年9月,全球共有300多家各类组织通过了BS7799信息安全管理体系认证。在我国的台湾和香港也在推广BS7799标准。
1 .2.2 BS7799内容简介
实施信息安全管理体系标准(ISO/IEC17799)的目的是保证组织的信息安全(即信息资料的机密性,完整性和可用性)及业务的正常运营。其方法是通过风险评估、风险管理引导切入企业的信息安全要求,并提供了10大管理方面,36个管理目标,127种安全控制指南供您选择和使用。当然也对计算机和网络的安全控制给予了详尽描述。
BS7799基本内容包括:信息安全政策、信息安全组织、信息资产分类与管理、人员信息安全、物理和环境安全、通信和运营管理、访问控制、信息系统的开发与维护、业务持续性管理、法律符合性十个方面。具体分为两个部分:BS7799-1:信息安全管理实施细则,BS7799-2:信息安全管理体系规范。第一部分主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全;第二部分详细说明了建立、实施和维护信息安全管理系统的要求,指出实施组织需要通过风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。
(1)第一部分(BS 7799-1)简介
信息安全管理实施规则,是作为国际信息安全指导标准ISO/IEC 17799基础的指导性文件,包括10大管理要项,36个执行目标,127种控制方法,如表1-1所示:
表1-1 安全管理控制目标与控制方法
一、安全方针(Security Policy)(1,2)(附注) |
|||
|
二、安全组织(Security Organization)(3,10) |
|||
|
三、资产分类与控制(Asset Classification and control)(2,3) |
|||
|
四、人员安全(Personnel Security)(3,10) |
五、物理与环境安全(Physical and Environmental Security)(3,13) |
六、通信与运营管理(Communications and Operations Management)(7,24) |
八、系统开发与维护(Systems Development and Maintenance)(5,18) |
|
七、访问控制(Access Control)(8,31) |
|||
|
九、业务持续性管理(Business Continuity Management)(1,5) |
|||
|
十、法律符合性(Compliance)(3,11) |
|||
附注:(m,n)- m:执行目标的数目 n:控制方法的数目
表1-2 BS 7799详细内容列表
标准 |
目的 |
内容 |
|
安全方针 |
为信息安全提供管理方向和支持。 |
建立安全方针文档 |
|
安全组织 |
建立组织内的管理体系以便安全管理。 |
组织内部信息安全责任;信息采集设施安全;可被第三方利用的信息资产的安全;外部信息安全评审;外包合同的安全。 |
|
资产分类与控制 |
维护组织资产的适当保护系统。 |
利用资产清单,分类处理,信息标签等对信息资产进行保护。 |
|
人员安全 |
减少人为造成的风险。 |
减少错误,偷窃,欺骗或资源误用等人为风险;保密协议;安全教育培训;安全事故与教训总结;惩罚措施。 |
|
物理与环境安全 |
防止对关于IT服务的未经许可的介入,损伤和干扰服务。 |
阻止对工作区与物理设备的非法进入;业务机密和信息非法的访问、损坏、干扰;阻止资产的丢失,损坏或遭受危险;桌面与屏幕管理阻止信息的泄漏。 |
|
通信与运营管理 |
保证通讯和操作设备的正确和安全维护。 |
确保信息处理设备的正确和安全的操作;降低系统失效的风险; 保护软件和信息的完整性;维护信息处理和通讯的完整性和可用性;确保网络信息的安全措施和支持基础结构的保护; 防止资产被损坏和业务活动被干扰中断;防止组织间的交易信息遭受损坏,修改或误用。 |
|
访问控制 |
控制对业务信息的访问。 |
控制访问信息;阻止非法访问信息系统;确保网络服务得到保护;阻止非法访问计算机;检测非法行为; 保证在使用移动计算机和远程网络设备时信息的安全。 |
|
系统开发与维护 |
保证系统开发与维护的安全 |
确保信息安全保护深入到操作系统中; 阻止应用系统中的用户数据的丢失,修改或误用;确保信息的机密性,可靠性和完整性;确保IT项目工程及其支持活动在安全的方式下进行;维护应用程序软件和数据的安全。 |
|
业务持续性管理 |
防止商业活动中断和灾难事故的影响。 |
防止商业活动的中断;防止关键商业过程免受重大失误或灾难的影响。 |
|
符合性 |
避免任何违反法令、法规、合同约定及其他安全要求的行为。 |
避免违背刑法、民法、条例,遵守契约责任以及各种安全要求; 确保组织系统符合安全方针和标准;使系统审查过程的绩效最大化,并将干扰因素降到最小。 |
(2)第二部分(BS 7799-2)简介
信息安全管理体系规范详细说明了建立、实施和维护信息安全管理体系(ISMS)的要求,指出实施组织需要通过风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤,如图1-1所示:
图1-1 建立信息安全管理体系的步骤
l 定义信息安全方针
信息安全方针是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全方针。例如,规模较小的组织单位可能只有一个信息安全方针,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全方针文件,分别适用于不同的子公司或各分支机构。信息安全方针应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全方针的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
除了总的信息安全方针,组织还要制定具体的信息安全策略,信息安全策略就是为保证控制措施的有效执行而制定的明确具体的信息安全实施规则。
l 定义ISMS的范围
ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
l 进行信息安全风险评估
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行鉴定。风险评估主要依赖于业务信息和系统的性质、使用信息的业务目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
l 信息安全风险管理
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
降低风险:在考虑转移风险前,应首先考虑采取措施降低风险;
避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;
转移风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
l 确定控制目标和选择控制措施。
控制目标的确定和控制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的控制目标和控制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
l 准备信息安全适用性声明。
信息安全适用性声明纪录了组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明面对信息安全风险的态度,另一方面则是为了向外界表明组织的态度和作为,表明组织已经全面、系统地审视了组织的信息安全系统,并将所有应该得到控制的风险控制在能够被接受的范围内。
l 新版本BS 7799-2:2002的特点
新版本BS 7799-2:2002于 2002年9月5日 在英国发布。新版本同ISO 9001:2000(质量管理体系) 和ISO 14001:1996(环境管理体系)等国际知名管理体系标准采用相同的风格,使信息安全管理体系更容易和其它的管理体系相协调。BS7799—2:2002更注重PDCA的过程管理模式,能够更好的与组织原有的管理体系,如质量管理体系、环境管理体系等进行整合,减少组织的管理过程,降低管理成本。这在标准的引言部分通过总则、过程方法、与其他管理体系的相容性的描述中得到了很好的体现。新版标准将组织对信息安全管理体系的采用提升到了一个战略的高度,鼓励组织采用过程的方式建立、实施组织的信息安全管理体系,并持续改进其有效性。允许组织将其信息安全管理体系与其他管理体系进行整合,也是标准的“统御”管理思想的一个体现。
1.2.3 对BS7799的理解与认识
在该标准中,信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障业务连续性,最大限度地减少业务损失,从而最大限度地获取投资回报。信息安全的涵义主要体现在以下三个方面:
l 机密性:确保信息仅可让获取授权的人员访问;
l 完整性:保护信息和处理方法的准确和完善;
l 可用性:确保授权人需要时可以获取信息和相应的资产。
信息安全不仅仅是一个技术问题,更重要的是一个管理问题。对一种资产进行保护的最好方法就是为它建立一个完整的、科学的管理体系。建立和实施信息安全管理体系是保障企事业单位、政府机构信息安全的重要措施。
ISO17799/BS7799强调管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照。单位或组织以此为参照建立自己的信息安全管理体系,可以在别人经验的基础上根据自己的实际情况进行设计、取舍,以达到对信息进行良好管理的目的。
传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式,导致的结果是不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失。而BS7799标准基于风险管理的思想,指导组织建立信息安全管理体系。信息安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受收水平,确保信息的机密性、完整性和可用性,保持组织业务运作的持续性。
BS7799提供了一个组织进行有效安全管理的公共基础,反映了信息安全的“三分技术,七分管理”的原则。它全面涵盖了信息系统日常安全管理方面的内容,提供了一个可持续提高的信息安全管理环境。包括安全管理的注意事项和安全制度,例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理制度易于理解,一般的单位都可以制定,具有可操作性,推广信息安全管理标准的关键在于重视程度和制度落实方面。
BS7799是对一个组织进行全面信息安全评估的基础,可以作为组织实施信息安全管理的一项体制。它规定了建立、实施信息安全管理体系的文档,以及如何根据组织的需要进行安全控制,可以作为一个非正式认证方案的基础。
然而,BS7799仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的ISMS,才是真正具有挑战性的工作。BS7799在标准里描述的所有控制方式并非都适合于每种情况,它不可能将当地系统、环境和技术限制考虑在内,也不可能适合一个组织中的每个潜在的用户,因此,这个标准还需结合实际情况进一步加以补充。
BS7799没有详细地探讨技术方面的问题如防火墙和防病毒产品,但它要求每一个组织都必须有四类信息安全保证方式,即:组织保证、产品保证、服务供应商保证和商业贸易伙伴保证。它提供了一系列最佳资料安全管理体系的控制方法。BS7799所提供的信息管理系统可同时运用于工业界与商业界,其中包括网络和通讯行业。BS7799标准可运用于信息安全管理体系审核的认证标准。它涵盖安全政策、安全组织、资产分类和控制、人员和环境安全、通讯和运营管理、访问控制和法律要求等方面。
此外,信息安全管理建立在风险评估的基础上,而风险评估本身是一个复杂的过程,不同组织面临不同程度和不同类型的风险,风险的测度需要有效的方法支持,因此按照该标准衡量一个系统还需要一些相关技术的配合。
1.2.4 BS7799/ISO17799在国际上的争议
ISO/IEC17799已经被许多国家承认,但是它也有缺陷。首先,ISO/IEC17799不是一篇技术性的信息安全操作手册,虽然它讨论的主题很广泛。但是它对每一项内容的讨论都没有深入下去。所以,ISO/IEC17799没有提供关于任何安全主题的确定或专门的材料。 其次,作为对各类信息安全主题的高级别概述,17799显然是非常有用的,它有助于人们在高级管理中理解每一类信息安全主题的基础性问题。但是17799没有提供足够的信息以帮助一个机构进行深入的信息安全检查。此外,17799涉及到了一些密码的事情。但是17799中谈论PKI的内容不过区区几句话,17799中没有包含与密码项目的开发和管理--比如PKI互操作性--有关的足够信息。
虽然很多国家将ISO/IEC17799视为合法的国际标准,但也有些国家持不同意见。由于整个标准深受英国文化和法律体系的影响,以至于在国际投票过程中美国等多个发达国家极力反对。目前已经有几个国家指出,17799的某些部分与其国家法律存在着冲突,尤其是在隐私领域。
对ISO17799投赞成票国家有英国、澳大利亚、新西兰、巴西以及其他14个成员国。反对国则包括比利时、加拿大、法国、德国、意大利、日本以及美国。有一个特点值得注意:7大经济强国中,除了英国,其他6个国家反对通过DIS 17799。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved