《BS7799标准详解》由会员分享,可在线阅读,更多相关《BS7799标准详解(85页珍藏版)》请在金锄头文库上搜索。
1、BS7799小组成员:为什么需要标准?信息系统的广泛运用一、电子数据处理系统单项数据处理阶段(20世纪50年代中期到60年代中期)1954年,通用电气公司利用计算机进行工资计算成为基于计算机的企业信息系 统应用的开端。综合数据处理阶段(20世纪60年代中期到70年代初期)二、管理信息系统三、决策支持系统(70年代提出,80年代发展)1993年,万维网在Internet上出现,为信息系统的网络化创造了前所未有的条件。20世纪90年代以来,出现了不少信息系统方面的新概念,诸如经理信息系统(EIS )、战略信息系统(SIS)和计算机集成制造系统(CIMS)等。没有绝对的安全安全体系不是安全产品的简单
2、加和什么是BS7799?BS7799是英国标准协会(British Standards Institute,BSI)针对信息安全管理而制定的一个标 准,最早始于1995年,后来几经改版,成为了目前 被广泛接受的信息安全管理标准。BS7799 (1995)BS7799-1 (1995公布,1999修订)BS7799-2 (1998公布,1999修订)ISO/IEC17799-1:2000ISO/IEC 27001 (2005)BS 7799 的组成BS7799-1:信息安全管理实施细则正文前设立了“前言”和“介绍”,其“介绍”中“对什么是 信息安全、为什么需要信息安全、如何确定安全需要、评估 安
3、全风险、选择控制措施、信息安全起点、关键的成功因 素、制定自己的准则”等内容作了说明。该标准的正文规定了127个安全控制措施来帮助组织识别在 运作过程中对信息安全有影响的元素,组织可以根据适用的法 律法规和章程加以选择和使用,或者增加其他附加控制。这 127个控制措施被分成10个方面,成为组织实施信息安全管理 的实用指南。一.安全策略1.信息安全策略目的:提供管理指导,保证信息安全。管理层应制定一个明确的安全策略方向,并通过在整个组织中发布 和维护信息安全策略,表明自己对信息安全的支持和保护责任。1.1信息安全策略文档策略文档应该由管理层批准,根据情况向所有员工公布传达。文档 应说明管理人员承
4、担的义务和责任,并制定组织的管理信息安全的步 骤。至少应包括以下指导原则:a)信息安全的定义、其总体目标及范围以及安全作为保障信息共享的 机制所具有的重要性(参阅简介);b.陈述信息安全的管理意图、支持目标以及指导原则;c.简要说明安全策略、原则、标准以及需要遵守的各项规定。这对组 织非常重要,例如:1) 符合法律和合约的要求;2) 安全教育的要求;确定信息安全管理的一般责任和具体责任,包括报告安全事故;d.参考支持安全策略的有关文献,例如针对特定信息系统的更为详尽 的安全策略和方法以及用户应该遵守的安全规则。1.2审查评估每个策略应该有一个负责人,他根据明确规定的审查程序对策略进 行维护和审
5、查。审查过程应该确保在发生影响最初风险评估的基础的 变化(如发生重大安全事故、出现新的漏洞以及组织或技术基础结构 发生变更)时,对策略进行相应的审查。还应该进行以下预定的、阶 段性的审查:a)检查策略的有效性,通过所记录的安全事故的性质、数量以及影 响反映出来;b)控制措施的成本及其业务效率的影响。2.具体实施案例 【信息安全策略的建设要点】:BS7799定义了安全策略是为信息安全活动 提供了管理的方向以及所需的支持手段和管理层的承诺,同时安全策略还应 该明确定义企业机构中安全策略的维护责任。典型的安全策略包含内容非常 广泛,包括信息安全的定义和目的,以及在信息共享运转机制中安全防范的 领域和
6、重要性;管理意图的阐述,信息安全目标和原则的支持;安全策略、 原则和标准的简要说明以及对机构尤其重要的规范实施条件的解释;阐述信 息安全的职责;等等。 【实施方法与形式】天威诚信公司结合认证机构的建设特点,结合自身业 务要求及运营风险,依据认证中心不同运营控制域分别制定了六个方面的安 全策略,分别是人员安全策略、物理安全策略、逻辑安全策略、通讯安全策 略密钥安全策略以及安全与审计策略。在实际运营建设中,天威诚信参照 BS7799建议的控制措施,对安全策略进行文档化控制,在企业范围内最大化 的为广大用户及内部员工所了解和接受,并指导各种规定制度、操作程序的 制定及实施,并定期进行评审和评估。二.
7、组织安全1.信息安全基础设施 目标:管理组织内部信息安全。 应该建立管理框架,在组织内部开展和控制信息安全的管理实施。 应该建立有管理领导层参加的管理论坛,以批准信息安全策略、分配 安全责任并协调组织范围的安全策略实施。 根据需要,应该建立专家提出信息安全建议的渠道,并供整个组织 使用。建立与公司外部的安全专家的联系,保持与业界的潮流、监视 标准和评估方法同步,并在处理安全事故时吸收他们的观点。应该鼓 励采用跨学科跨范围的信息安全方法,例如,让管理人员、用户、行 政人员、应用程序设计人员、审计人员以及安全人员和专家协同工作 ,让他们参与保险和风险管理的工作。1.1管理信息安全论坛信息安全是一种
8、由管理团队所有成员共同承担的业务责任。应该建 立一个管理论坛,确保对安全措施有一个明确的方向并得到管理层的实 际支持。论坛应通过合理的责任分配和有效的资源管理促进组织内部安 全。该论坛可以作为目前管理机构的一个组成部分。通常,论坛有以下 作用:a)审查和核准信息安全策略以及总体责任;b)当信息资产暴露受到严重威胁时,监视重大变化。1.2信息安全协调在大型组织中,需要建立一个与组织规模相宜的跨部门管理论坛, 由组织有关部门的管理代表参与,通过论坛协调信息安全控制措施的实 施情况。通常,这类论坛:就整个公司的信息安全的作用和责任达成一致;a)就信息安全的特定方法和处理过程达成一致,如风险评估、安全
9、分 类系统;b)就整个公司的信息安全活动达成一致并提供支持,例如安全警报程 序。1.3信息安全责任的划分应该明确保护个人资产和执行具体安全程序步骤的责任。信息安全策略应 提供在组织内分配安全任务和责任的一般指导原则。a)必须确定并明确说明由谁负责各种资产和与每个系统相关的安全进程。要 明确以下范围。b)应该确定负责各个资产和安全进程的管理人员,并记录责任的具体落实情 况。1.4信息处理设施的授权程序对于新的信息处理设施,应该制定管理授权程序。应考虑以下问题。a)新设施应获得适当的用户管理审核,授权新设施的范围和使用。应获得负 责维护本地信息系统安全环境的管理人员的批准,以确保符合所有相关安 全
10、策略和要求。b)如果需要,应检查硬件和软件以确保它们与其它系统组件兼容。1.5专家信息安全建议很多组织都需要专家级的信息安全建议。理想情况下,一位资深的全 职信息安全顾问应该提出以下建议。信息安全顾问或其它专家应负责为信息安全的各种问题提供建议,这 些意见既可以来自他们本人,也可以来自外界。组织的信息安全工作的 效率如何,取决于他们对安全威胁评估的质量和建议使用的控制措施。 为得到最高的效率和最好的效果,信息安全顾问可以直接与管理层联系在发生可疑的安全事故或破坏行为时,应尽早向信息安全顾问或其它 专家进行咨询,以得到专家的指导或可供研究的资源。尽管多数内部安 全调查是在管理层的控制下进行的,但
11、仍然应该邀请安全顾问,倾听他 们的建议,或由他们领导、实施这一调研活动。1.6组之间的合作与执法机关、管理部门、信息服务提供商和通信运营商签署的合同 应保证:在发生安全事故时,能迅速采取行动并获得建议。同样的, 也应该考虑加入安全组织和业界论坛。应严格限制对安全信息的交换,以确保组织的保密信息没有传播给 未经授权的人。1.7信息安全的独立审评审查工作应该由组织内部的审计职能部门、独立管理人员或专门提 供此类服务的第三方组织负责执行,而且这些人员必须具备相应的技 能和经验。2.第三方访问的安全性目标:维护第三方的组织信息处理设施和信息资产的安全性。要严格控制第 三方对组织的信息处理设备的使用。
12、如果存在对第三方访问的业务需求,必须进行风险评估,以确定所涉及的安 全问题和控制要求。必须与第三方就控制措施达成一致,并在合同中规定。 第三方的访问可能涉及到其它人员。授予第三方访问权限的合约应该包括允 许指定其它符合条件的人员进行访问和有关条件的规定条款。 在制定这类合约 或考虑信息处理外包时,可以将本标准作为一个基础。2.1确定第三方访问的风险访问类型访问理由现场的承包商2.2第三方合同要求第三方对组织信息处理设施的访问,应该根据包含所有必要安全 要求的正式合同进行,确保符合组织的安全策略和标准,应确保组 织和第三方之间对合同内容不存在任何歧义。为满足供应商,组织 应首先满足自己。在合约中
13、应考虑以下条款:a)信息安全的常规策略;b)对资产的保护。3.外包目标:在将信息处理责任外包给另一组是保障信息安全。在双方 的合同中,外包协议应阐明信息系统、网络和/或桌面环境中存在的 风险、安全控制措施以及方法步骤。4.具体实施案例【安全组织的建设要点】:安全组织包含三个控制目标:企业信息基础架 构、第三方访问安全以及外包。安全组织要求定义企业机构内部与信息安全有 关的组织和协作,如何落实安全责任,与安全有关的授权过程,同时,要求管 理者能够识别第三方合作和外包过程中的风险,并通过相关的合同控制安全风 险。【实施方法】:天威诚信设定了专职安全组织安全管理部,并任命该部门 的负责人安全经理来负
14、责及协调与安全相关的所有活动。另外,考虑到责任范 围及知识域全面性,天威诚信还组织高层安全管理小组以及跨部门安全小组这 两个非常设性的行政组织来实现不同信息安全管理的控制需要。在实际运行管理中,天威诚信参照BS7799建议的控制措施对于三个控制目 标进行多方面的管理控制:a)定期、不定期的组织信息安全专题会议来改进、批准企业内部各种安全计 划,监视、评审企业内部信息安全活动及涉及信息安全的业务流程的执行 ,讨论、消除安全事件给企业带来的安全风险等等。b)进行全员化企业安全文化的建设,将安全责任落实到各业务部门、各负责 人身上,例如信息维护人员必须熟知逻辑安全策略的要求,并切实将逻辑 安全策略落
15、实到具体业务工作中。c)组织跨部门安全小组会议,进行各种信息安全活动的交流。必要时聘请外 部专家给与信息安全管理工作指导性的建议及意见。d)采用合理技术手段及管理措施来控制第三方对公司物理及逻辑方面的访问 ,并采用不同形式与第三方进行保密要求的约定。e)对于外包,在进行外包活动前,天威诚信会组织专业人员进行严格的考 察、讨论,满足认证中心的安全条件是外包活动的必要条件,另外在实施 外包活动中,天威诚信会依据外包合同进行各种必要的审计工作。三.资产分类管理1.资产责任目标:对组织资产进行适当的保护。所有主要的信息资产应进行登记,并 指定资产的所有人。 确定资产的责任帮助确保能够提供适当的保护。
16、应确定所有主要资产的所有者,并分配维护该资产的责任。可以委托负责 实施控制措施的责任。资产的责任由资产的指定所有责负责。1.1资产目录资产清单能帮助您确保对资产实施有效的保护,也可以用于其它商业目的 ,如保健、金融保险等(资产评估)。编辑资产清单的过程是资产评估的一 个重要方面。组织应确定其资产及其相对价值和重要性。利用以上信息,组 织可以根据资产的重要性和价值提供相应级别的保护。应该为每个信息系统 的关联资产草拟并保存一份清单。2.信息分类目标:保证信息资产得到适当的保护。应该对信息分类,指明其需 要、优先顺序和保护级别。信息的敏感程度和关键程度各不相同。有些 信息需要加强保护或进行特别对待。可以使用信息分类系统定义合适的 保护级别,并解释对特别处理手段的需要。2.1分类原则在对信息进行分类并制定相关的保护性控制措施时,应该考虑以下 问题:对共享信息或限制信息共享的业务需求,以及与这种需求相关的 业务影响,如对信息未经授权的访问或损害。2.2信息标识处理根据组织采用的分类方法,明确标记和处理信息的妥善步骤,是非 常重要的。这些步骤应包括实际存在的信息和电子
