信息安全管理的“标尺”

信息技术的发展和应用伴随企业对信息安全认识的不断深入，而建立一套信息安全管理的机制辅助企业实现信息安全策略，是企业各个层面的迫切需求。BS 7799作为领域的一个权威标准，是全球业界一致公认的辅助信息安全治理的手段。本系列专题将围绕BS 7799，介绍该标准的主要内容、实施情况和简单的评价。

随着信息技术的发展，企业对于信息系统的依赖性不断增长，而日益复杂的信息系统的运作风险也在不断加大，这使得信息安全管理成为企业管理越来越关键的一部分。到底应该采用怎样的策略和方法推动信息安全技术和产品的发展？建立怎样的机制来管理或治理信息安全呢？

经过近一年对国内外信息安全和最佳实战的研究，我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制，它包括治理机制和治理结构，这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准，并且和相关的法律和规范一致。

BS 7799作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理的手段，该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架，这正是管理层能够接受并理解的，而此前与之对应的情形是：一旦出现信息安全事件，IT部门负责人就想到要采用最先进的信息安全技术，如购买先进的防火墙等等，客观上让人感觉到IT部门总是在花钱，这是管理层难以理解和不接受的。

BS 7799管理体系将IT策略和企业发展方向统一起来，确保IT资源用得其所，使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性、完整性和可用性来管理和保护组织的所有信息资产，通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制，组织按照这套标准管理信息安全风险，可持续提高管理的有效性和不断提高自身的信息安全管理水平，降低信息安全对持续发展造成的风险，最终保障组织的特定安全目标得以实现，进而利用信息技术为组织创造新的战略竞争机遇。

BS 7799的主要内容

BS 7799主要由两大部分组成：BS 7799-1：1999（《信息安全管理实施细则》），以及BS 7799-2：1999（《信息安全管理体系规范》）。

BS 7799-1：1999作为国际信息安全指导标准ISO/IEC 17799基础的指导性文件，主要让负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。这一部分包括十大管理要项，三十六个执行目标，一百二十七种控制方法，如图1所示。其详细内容如表1所示。

　　附注：(m，n)－ m：执行目标的数目 n：控制方法的数目

　　图1 十大管理要项图

信息安全与信息安全管理

在该标准中，信息安全已不只是人们传统意义上的安全，即添加防火墙或路由器等简单的设备就可保证安全，而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁，保障业务的连续性，最大限度地减少业务的损失，从而最大限度地获取投资和业务的回报。信息安全的涵义主要体现在以下三个方面：

　　◆ 安全性：确保信息仅可让授权获取的人士访问；

　　◆ 完整性：保护信息和处理方法的准确和完善；

　　◆ 可用性：确保授权人需要时可以获取信息和相应的资产。

BS 7799信息安全管理体系标准强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式，导致的结果是不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失。而BS 7799标准基于风险管理的思想，指导组织建立信息安全管理体系ISMS（Information Security Management System）。ISMS是一个系统化、程序化和文件化的管理体系，基于系统、全面、科学的安全风险评估，体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要求，强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产，使信息风险的发生概率和结果降低到可接受收水平，确保信息的保密性、完整性和可用性，保持组织业务运作的持续性。

BS 7799-2:2002特点

新版本BS 7799-2:2002于2002年9月5日在英国发布。新版本同ISO 9001:2000(质量管理体系) 和ISO 14001:1996（环境管理体系）等国际知名管理体系标准采用相同的风格，使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于：

　　◆PDCA(Plan-Do-Check-Act)的模型

　　◆基于PDCA模型的基于过程的方法

　　◆对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述

　　◆对ISMS持续过程改进的重要性

　　◆文档和记录方面更清楚的需求

　　◆风险评估和管理过程的改进

　　◆对新版本使用提供指南的附录

新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型，按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程，特别介绍了基于PDCA模型的过程管理方法，并在附录中为解释或采用新版标准提供了指南，如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下：

　　图2 PDCA模型应用与信息安全管理体系过程

1.计划（PLAN）:定义信息安全管理体系的范围，鉴别和评估业务风险

2.实施(DO)：实施同意的风险治理活动以及适当的控制

3.检查(CHECK)：监控控制的绩效，审查变化中环境的风险水平，执行内部信息安全管理体系审计

4.改进(ACTION)：在信息安全管理体系过程方面实行改进，并对控制进行必要的改进，以满足环境的变化。

新版标准较BS7799-2:1999没有引入任何新的审核和认证要求，新标准完全兼容依据BS 7799-2:1999建立、实施和保持的信息安全管理体系（ISMS）。新版标准没有增加任何控制目标和控制方式，所有的控制目标和控制方式都是来自ISO/IEC 17799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面，而且采用了不同的编号方式，将BS7799-2:1999和ISO/IEC 17799:2000结合起来了。

信息安全管理标准：BS 7799

BS 7799主要提供了有效地实施IT安全管理的建议，介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤，为公司发展、实施和估量有效的安全管理实践提供参考依据。该标准由英国标准协会（BSI）制定，是目前最“畅销”的标准。

英国标准协会是全球领先的国际标准、产品测试、体系认证机构。我们所熟知的ISO 9000（质量管理体系）、ISO 14001（环境管理体系）、OHSAS 18001（职业健康与安全管理体系）、QS-9000 / ISO/TS 16949（汽车供应行业的质量管理体系）以及TL 9000（电信供应行业的质量管理体系）均是由英国标准协会发起制定的，因此，如果企业已经实施了ISO 9000，就很容易整合实施其它的管理标准，当然也包括BS 7799。

BS 7799-1于1995年首次出版，标准规定了一套适用于工商业组织使用的信息系统的信息安全管理体系（ISMS）控制条件，包括网络和沟通中使用的信息处理技术，并提供了一套综合的信息安全实施规则，作为工商业组织的信息系统在大多数情况下所遵循的唯一参考基准，标准的内容定期进行评定。BS 7799：1999是1995版本的一个修订和扩展版本，它充分考虑了信息处理技术，尤其是网络和通信领域应用的最新发展，同时还强调了涉及商务的信息安全责任，扩展了新的控制。例如，新版本包括关于电子商务，移动计算机，远程工作和外部采办等领域的控制。

2000年12月，BS 7799-1通过国际化标准组织认可，正式成为国际标准ISO 17799，这是通过ISO 表决最快的一个标准，足见世界各国对该标准的关注和接受程度。目前，已有二十多个国家引用BS 7799-2作为国标，BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准，其在欧洲的证书发放量已经超过ISO9001，越来越多的信息安全公司都以BS 7799 作指导为客户提供信息安全咨询服务。由此可见，BS 7799是国际上公认的信息安全管理标准。

应用案例:

目前全球获得BS 7799信息安全管理体系认证的企业不超过200家，国内企业更是少之又少。如何认识 BS 7799信息安全管理体系的应用呢？

A公司于1987年在香港成立，主要业务是为国内及海外客户全面提供五金冲压、模具制造、电脑中的精密仪器配件及相关组装产品。A公司的深圳工厂于1995年申请并获得BSI ISO 9002:1994版认证，在2001年升级为2000版，同时随后着手推行BS 7799信息安全管理体系。

A公司为什么要推行BS 7799呢？该公司高层认为，在商业竞争日趋激烈的环境下，来源于不同渠道的信息，威胁着信息的机密性、完整性和可用性。威胁可能来自内部、外部、意外的，还可能是恶意的。伴随信息储存等新技术的广泛使用，面临的各种风险也在增高。BS 7799是全面的管理体系，透过风险评估及127个控制，不但能确保企业持续营运，还能减少企业在面对类似‘911事件’、‘SARS’之时出现的危机”。因此推行信息安全管理首先是出于企业自身的要求，而非由于客户要求才推行的。

2002年上半年，A公司完成了对信息安全体系范围和方针的确定、信息安全组织的建立、安全策略设计、风险评估、灾害恢复和业务持续性管理等一系列工作后，开始了信息安全管理体系试的运行。6个月后，即2002年底，A公司通过了BSI BS 7799的现场审核，随后获得了BSI签发的BS 7799证书。

A公司电脑部主管谈到，以前企业信息安全强调的是技术，在推行BS　7799信息安全体系过程中，逐步体会到，信息安全离不开管理体系的保障。此外，BS 7799的推行，使电脑部工作得以量化，促进了我们的绩效管理，肯定了我们的工作价值。

表1 BS 7799的内容列表

标准 目的 内容

信息安全方针 为信息安全提供管理方向和支持。 建立安全方针文档

安全组织 在组织内实现信息安全管理。 搭建信息安全基础架构；保证第三方访问安全；外包安全控制。

资产分类与控制 对组织资产实现适当保护。 列出资产清单；划分资产优先级；对信息资产进行适当保护。

人员安全 保护企业物理环境及信息免受未经授权的。 明确工作职则中的安全要求；实施资源安全管理；信息安全教育培训；

安全事故及故障处理。

物理与环境安全 确保雇员正确、安全的操作信息处理设备。 信息处理场所访问控制；设备安全；信息安全日常管理。

通信与操作管理 保证通信和操作设备的正确和安全维护。 确保信息处理设备的正确和安全的操作，降低系统失效的风险； 保护软件和信息的完 整性；维护信息处理和通信的完整性和可用性；确保网络信息的安全措施和支持基础 结构的保护； 防止资产被损坏和业务活动被干扰中断；防止组织间的交易信息遭受损 坏，修改或误用。

访问控制 控制对商业信息的访问。 控制访问信息；阻止非法访问信息系统，确保网络服务得到保护；阻止非法访问计算 机；检测非法行为； 保证在使用移动计算机和远程网络设备时信息的安全。

系统开发与维护 保证系统开发与维护的安全。 信息系统安全要求；应用系统安全要求；密码技术控制；系统文件安全；开发和支持 过程安全。

业务持续性管理 避免业务活动中断和灾难事故造成的影响。 防止业务活动的中断；避免关键业务过程受到重大失误或灾难的影响。

符合性（Compliance） 避免任何违反法令、法规、 避免违背刑法、民法、条例，遵守契约责任以及各种安全要求； 确保体系按照组织安 合同约定及其他安全要求的行为。 全方针及标准执行；使系统审查过程的绩效最大化，并将干扰因素降到最小。

【作者】

同济大学经济管理学院博士 郝晓玲

中国电子信息产业发展研究院培训中心业务拓展总监 孙强

(责任编辑：clearcase/" target="_blank" >ccidnet.com">赵纪雷)

原文转自：http://www.ltesting.net