BS7799信息安全管理體系介紹
一?信息及信息安全
信息象其他重要的商務資產一樣,也是一種資產,對一個組織而言具有價值,因而需要被妥善保護?信息安全使信息避免一系列威脅,保障了組織商務的連續性,最大限度地減小組織的商務損失,順利獲取投資和商務回報?
信息可以以多種形式存在?它可以是打印或寫在紙上(如:書面的財務報表等);電子形式存貯(如:一個組織ERP系統的備份磁帶);通過郵件或用電子手段傳輸;顯示在膠片上;表達在會話中?不論信息采用什么方式或采取什么手段共享和存貯,因為它有價值,應該得到妥善的保護?
信息安全的維持可表征為:
A?機密性:確保信息僅可讓授權獲取的人士訪問;
B?完整性:保護信息和處理方法的準確和完善;
C?可用性:確保授權人需要時可以獲取信息和相應的資產?
信息安全是通過執行一套適當的控制來達到的?可以是方針?慣例?程序?組織結構和軟件功能來實現,這些控制方式需要確定,才能保障組織特定的安全目標的實現?
二?信息安全的重要性
信息及其支持過程的系統和網絡都是組織的重要資產?信息的機密性?完整性和可用性對保持一個組織的競爭優勢?資金流動?效益?法律符合性和商務形象都是至關重要的?
任何組織及其信息系統(如一個組織的ERP系統)和網絡都可能面臨著包括計算機輔助欺詐?刺探?陰謀破壞行為?火災?水災等大范圍的安全威脅?隨著計算機的日益發展和普及,計算機病毒?計算機盜竊?服務器的非法入侵破壞已變得日益普遍和錯綜復雜?
目前一些組織,特別是一些較大型公司的業務已經完全依賴信息系統進行生產業務管理,這意味著組織更易受到安全威脅的破壞?組織內網絡的互連及信息資源的共享增大了實現訪問控制的難度?
有些組織的信息系統盡管在設計時可能已考慮了安全,但僅僅依靠技術手段實現安全仍然是有限的,還應當通過管理和程序來支持?
至于應采取哪些控制方式則需要周密計劃,并注意控制細節?信息安全管理需要組織中的所有雇員的參與,比如為了防止組織外的第三方人員非法進入組織的辦公區域獲取組織的技術機密,除物理控制外,還需要組織全體人員參與,加強控制?此外還需要供應商,顧客或股東的參與,需要組織以外的專家建議?
三?信息安全管理體系標準
1995年,英國貿工部根據英國國內企業對信息安全日益高漲的呼聲,組織大企業的信息安全經理們,制定了世界上第一個信息安全管理體系標準BS7799-1:1995《信息安全管理實施規則》,作為工商業和大?中?小型組織實施信息安全管理的指南?由于該標準采用建議和指導方式編寫,因而不宜作為認證標準使用?
1998年,為了適應第三方認證的需要,英國又制定了第一個信息安全管理體系認證標準--BS7799-2:1998《信息安全管理體系規范》,作為對一個組織的全面或部分信息安全管理體系進行評審認證的依據標準?
1999年,鑒于計算機和信息處理技術,尤其是網絡和通信領域應用的迅速發展,英國又對信息安全管理體系標準進行了修訂?修訂后的BS7799-1:1999和BS7799-2:1999分別取代了BS7799-1:1995和BS7799-2:1998?新修訂的1999版標準進一步強調了組織在商務工作中所涉及的信息安全和信息安全責任?
BS7799-1:1999和BS7799-2:1999是一對配套標準,BS7799-1:1999為如何建立和實施符合BS7799-2:1999標準要求的信息安全管理體系提供了最佳的應用建議?
令人鼓舞的是,2000年12月,BS7799-1:1999已經被ISO/IEC正式采納成為國際標準--ISO/IEC17799:2000《信息技術―信息安全管理實施規則》,另外,BS7799-2:1999也即將于2002年底被ISO/IEC作為藍本修訂后成為可用于認證的ISO/IEC的《信息安全管理體系規范》?
四?建立信息安全管理體系(ISMS)對任何組織都具有重要意義
任何組織,不論它在信息技術方面如何努力以及采納如何新的信息安全技術,實際上在信息安全管理方面都還存在漏洞,例如:
1.缺少信息安全管理論壇,安全導向不明確,管理支持不明顯;
2.缺少跨部門的信息安全協調機制;
3.保護特定資產以及完成特定安全過程的職責還不明確;
4.雇員信息安全意識薄弱,缺少防范意識,外來人員很容易直接進入生產和工作場所;
5.組織信息系統管理制度不夠健全;
6.組織信息系統主機房安全存在隱患,如:防火設施存在問題,與危險品倉庫同處一幢辦公樓等;
7.組織信息系統備份設備仍有欠缺;
8.組織信息系統安全防范技術投入欠缺;
9.軟件知識產權保護欠缺;
10.計算機房?辦公場所等物理防范措施欠缺;
11.檔案?記錄等缺少可靠貯存場所;
12.缺少一旦發生意外時的保證生產經營連續性的措施和計劃;
…….等等
通過以上信息管理方面的漏洞以及經常見諸報端的種種信息安全事件表明,任何組織都急需建立信息安全管理體系,以保障其技術和商業機密,保障信息的完整性和可用性,最終保持其生產?經營活動的連續性?
五?信息安全管理體系建立和運行步驟
BS7799-2:1999標準要求組織建立并保持一個文件化的信息安全管理體系,其中應闡述需要保護的資產?組織風險管理的渠道?控制目標及控制方式和需要的保證程度?
信息安全管理體系建立和運行步驟:
1?制定信息安全方針;
2?明確信息安全管理體系的范圍,根據組織的特性?地理位置?資產和技術來確定界限;
3?實施適宜的風險評估,識別資產所受到的威脅?薄弱環節和對組織的影響,并確定風險程度;
4?根據組織的信息安全方針和需要的保證程度來確定應實施管理的風險;
5?從BS7799-2的第四部分“控制細則”中選擇適宜的控制目標和控制方式(從36個目標,127種控制方式中選擇);控制目標和控制方式的選擇可以參考BS7799-1:1999《信息安全管理體系實施細則》標準,如果標準中沒有的控制目標和控制方式,組織可以也應選擇一些其它適宜的控制方式?
6?制定可用性聲明,將控制目標和控制方式的選擇和選擇理由文件化,并注明未選擇BS7799-2:1999第四部分中的任何內容及其理由;
7?有效地實施選定的控制目標和控制方式;
8?進行內部審核和管理評審,保證體系的有效實施和持續適宜?
六?中國質量認證中心BS7799-2:1999推行工作簡介
中國質量認證中心是目前國內唯一具有BS7799-2:1999建立與認證經歷的機構,早在1999年末,CQC廈門評審中心就組織審核員和專業人員翻譯了BS7799系列標準,并開展了國內最早的培訓,2000初動員廈門人保推行BS7799-2:1999,并于2000年8月-10月對該企業實施了認證審核?
2001年,中心又指派了一名經驗豐富的高級工程師/主任審核員對BS7799-2信息安全管理體系(ISMS)的建立進行了深入的研究,全程參與廣東某公司的信息安全管理體系的建立和認證工作,為開展組織的信息安全體系積累豐富的經驗?
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
