ISO-17799/BS 7799信息安全管理体系
发布时间:2008-01-17   录入:启明星辰

BS 7799是英国标准协会制定的信息安全管理体系标准,已得到了一些国家的采纳,是国际上具有代表性的信息安全管理体系标准。


1990年,世界经济合作开发组织(OECD)下辖的信息、计算机与通信政策组织开始起草 “信息系统安全指导方针”。1992年,OECD于11月26日正式通过“信息系统安全指导方针”。1993年,英国工业与贸易部(DTI)颁布“信息安全管理事务准则”。1995年,英国制定国家标准BS 7799第一部分:“信息安全管理事务准则”,并提交国际标准组织(ISO),成为ISO DIS 14980。1996年,BS 7799第一部分提交ISO审议的结果,于1996年2月24日结束6个月的审议后,参与投票的成员国未超过三分之二。1997年,OECD于3月27日公布密码模块指导原则;同年,英国正式开始推动信息安全管理认证先导计划。1998年,英国公布BS 7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据;同年,欧盟于1995年10月公布之“个人资料保护指令,自1998年10月25日起正式生效,要求以适当标准保护个人资料”。1999年,修订后的BS 7799:1999版再度提交ISO审议。2000年,国际标准组织 ISO/IEC JTC SC 27在日本东京 10月21 日通过BS 7799-1,成为 ISO DIS 17799-1,2000年12月1日正式发布。现已有30多家机构通过了信息安全管理体系认证,范围包括:政府机构、银行、保险、电信企业、网络及许多跨国。目前除英国之外,国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799;日本、瑞士、卢森堡表示对BS 7799感兴趣;我国的台湾、香港地区也在推广该标准。值得一提的是:该标准也是目前英国最畅销的标准。


BS7799 Part 1的全称是Code of Practice for Information Security,也即为信息安全的实施细则。2000年被采纳为ISO/IEC 17799,目前其最新版本为2005版,也就是ISO 17799: 2005。

ISO/IEC 17799:2005 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素,还有39个主要执行目标和133个具体控制措施(最佳实践),供负责信息安全系统应用和开发的人员作为参考使用,以规范化组织机构信息安全管理建设的内容。


BS7799 Part 2的全称是Information Security Management Specification,也即为信息安全管理体系规范,其最新修订版在05年10月正式成为ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO/IEC 17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS)。


BS 7799完全从管理角度制定,并不涉及具体的安全技术,实施不复杂,主要是告诉管理者一些安全管理的注意事项和安全制度,例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定,但要想达到BS 7799的全面性则需要一番努力。


同BS 7799相比,信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估;系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面,BS 7799的地位是其他标准无法取代的。


总的来说,BS7799涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。


应该说该标准中也还存在一些问题。它认为未经批准查看敏感信息是种威胁,而且是对保密性的违反。但是明确阐述保密性的文件中唯一指明的控制中却没有这种认识。它的4.1.3部分讲到,用户应该签署保密(不泄密)协定,但却没有说阻止非法用户截取(察看)信息。


标准中循环定义可用性为可用的。它没有区分审计和评审控制而错误的定义了“审计”一次。在企业中,审计是指批准或验证某商业系统。我们应该保留这个词来指专业审计师的行为;而评审是信息安全专家或信息拥有者的行为。


标准中的另一个问题是有关网络存取控制的部分没有提到密码技术。标准中简单讨论了密码技术,但只在有关开发和维护系统应用部分,作为维护高度敏感的数据的一部分。另外,它混淆了知道信息和占有信息的概念。
总而言之,准则在某些方面可能不全面,但是它仍是目前可以用来达到一定预防标准的最好的指导标准。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号