信息安全管理標準BS7799-22002介紹及風(fēng)險評估

1、.：.；信息平安管理規(guī)范BS7799-2:2002引見及風(fēng)險評價Information Security Management Standard BS7799-2:2002 AND Risk Assessment山東科飛管理咨詢公司 王毅剛 吳昌倫摘要：引見了信息平安管理體系規(guī)范的開展及2002年9月5日英國規(guī)范委員會BSI正式發(fā)布的信息平安管理規(guī)范BS7799-2:2002，著重引見了規(guī)范改版的緣由及其與其他管理規(guī)范的相容性。對于建立信息平安管理體系的重點部分-風(fēng)險評價，也作了簡要地引見。一、BS7799信息平安管理體系規(guī)范的開展隨著在世界范圍內(nèi)，信息化程度的不斷開展，信息平安逐漸成為人們關(guān)

2、注的焦點，世界范圍內(nèi)的各個機構(gòu)、組織、個人都在探尋如何保證信息平安的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息平安的本國規(guī)范，國際規(guī)范化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息平安相關(guān)的國際規(guī)范及技術(shù)報告。目前，在信息平安管理方面，英國規(guī)范BS7799曾經(jīng)成為世界上運用最廣泛與典型的信息平安管理規(guī)范，它是在BSI/DISC的BDD/2信息平安管理委員會指點下制定完成。BS7799規(guī)范于1993年由英國貿(mào)易工業(yè)部立項，于1995年英國初次出版BS 7799-1：1995，它提供了一套綜合的、由信息平安最正確慣例組成的實施規(guī)那么，其目

3、的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的獨一參考基準，并且適用于大、中、小組織。1998年英國公布規(guī)范的第二部分，它規(guī)定信息平安管理體系要求與信息平安控制要求，它是一個組織的全面或部分信息平安管理體系評價的根底，它可以作為一個正式認證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版思索了信息處置技術(shù)，尤其是在網(wǎng)絡(luò)和通訊領(lǐng)域運用的近期開展，同時還非常強調(diào)了商務(wù)涉及的信息平安及信息平安的責(zé)任。2000年12月，BS7799-1：1999經(jīng)過了國際規(guī)范化組織ISO的認可，正式成為國際規(guī)范-ISO/IEC17799-1：2000。2002年9月5日

4、，BS7799-2:2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式規(guī)范，同時BS7799-2:1999被廢止。如今，BS7799規(guī)范已得到了很多國家的認可，是國際上具有代表性的信息平安管理體系規(guī)范。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已贊同運用該規(guī)范；日本、瑞士、盧森堡等國也表示對BS7799規(guī)范感興趣，我國的臺灣、香港也在推行該規(guī)范。許多國家的政府機構(gòu)、銀行、證券、保險公司、電信運營商、網(wǎng)絡(luò)公司及許多跨國公司已采用了此規(guī)范對本人的信息平安進展系統(tǒng)的管理。截至2002年9月，全球共有142家各類組織經(jīng)過了BS7799信息平安管理體系認證。二、BS7799-2:2002簡介200

5、2年9月5日，BSI發(fā)布了最新版的BS7799-2：2002規(guī)范, 新版的規(guī)范構(gòu)造如下：0 引言1范圍2 援用規(guī)范3 術(shù)語及定義4 信息平安管理體系5 管理職責(zé)6 資源管理7 ISMS評審8 改良可以看出BS7799-2:2002規(guī)范構(gòu)造上的修訂，更加貼近ISO9001:2000，更好的采用了過程的方法，利用PDCA的循環(huán)不斷改良信息平安管理體系，這也是BS7799-2:2002與BS7799-2:1999的一個重要的差別。以下是規(guī)范改版的動因:修訂BS7799第二部分規(guī)范，主要是為了：與其它管理體系規(guī)范協(xié)調(diào)一致，例如ISO9000和ISO14001；引入并運用PDCA方案、實施、檢查、措施過

6、程方式，以建立、實施組織的信息平安管理體系，并繼續(xù)改良其有效性。圖1 BS7799-2:2002信息平安管理體系規(guī)范作為體系認證的獨一參考規(guī)范，其修訂版中有以下幾個突出的部分：1、規(guī)范第4節(jié)到第7 節(jié)規(guī)定了基于PDCA過程方式的信息平安管理體系。這是對包含在1999版第3節(jié)中的過程的擴展。2、1999版第4節(jié)中的控制目的和控制方式在規(guī)范附錄A中表述。附錄包含的控制目的與控制方式ISO/IEC17799：2000。3、規(guī)范附錄B中提供了修訂版的解釋和運用指南。4、規(guī)范附錄C中列出了BS7799-2:2002、ISO9001:2000和ISO14001:1996個章節(jié)之間的對應(yīng)關(guān)系。5、修訂過程中

7、，將適用性聲明SoA的定義從主要內(nèi)容中刪除，在附錄B參考附錄B1.4中添加了適用性聲明的概念，以及對控制概要的了解。另外，為了與其它管理體系規(guī)范堅持一致，內(nèi)容中還添加了范圍的界定，關(guān)于規(guī)范要求的排除，以及與規(guī)范符合的聲明。BDD第3小組與BS7799國際用戶組織IUG為了包括國際方面的要求特制定了本修訂版。此次指定是以不同國家的專家和組織的文獻為根底，并由不同國家的專家和組織評審和討論這些文獻。三、BS7799-2:2002與ISO9001:2000及ISO14001:1996的對比ISO9001:2000、ISO14001:1996與BS7799-2:2002章節(jié)間的對應(yīng)關(guān)系四、信息平安管理

8、體系建立的重要環(huán)節(jié)-風(fēng)險評價組織實施BS7799的目的應(yīng)該是按照先進的信息平安管理規(guī)范建立完好的信息平安管理體系ISMS并實施與堅持，到達動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息平安管理方式，用最低的本錢，到達可接受的信息平安程度，從根本上保證業(yè)務(wù)的延續(xù)性。 BS7799-2:2002規(guī)范條款4.2.1謀劃過程要求組織建立信息平安管理體系應(yīng)該Shall定義風(fēng)險評價的系統(tǒng)性方法、識別風(fēng)險、進展風(fēng)險評價、識別并評價風(fēng)險處置的方法、為風(fēng)險的處置選擇控制目的與控制方式。作為體系的謀劃過程，風(fēng)險評價方法的科學(xué)性、系統(tǒng)性以及其評價結(jié)果的質(zhì)量很大程度上決議了ISMS的勝利建立，及它對組織的價值。

9、1 風(fēng)險評價的根本概念與風(fēng)險評價有關(guān)的概念要挾(Threat)：是指能夠?qū)Y產(chǎn)或組織呵斥損害的事故的潛在緣由。薄弱點(Vulnerability)：是指資產(chǎn)或資產(chǎn)組中能被要挾利用的弱點。風(fēng)險(Risk)：特定的要挾利用資產(chǎn)的一種或一組薄弱點，導(dǎo)致資產(chǎn)的喪失或損害的潛在能夠性，即特定要挾事件發(fā)生的能夠性與后果的結(jié)合。風(fēng)險評價 (Risk assessment)：對信息和信息處置設(shè)備的要挾(threat)、影響(impact)和薄弱點(vulnerability)及三者發(fā)生的能夠性的評價。與風(fēng)險管理有關(guān)的概念風(fēng)險管理 (Risk management)：以可接受的費用識別、控制、降低或消除能夠影響

10、信息系統(tǒng)的平安風(fēng)險的過程。風(fēng)險管理是一個識別、控制、降低或消除平安風(fēng)險的活動，經(jīng)過風(fēng)險評價來識別風(fēng)險大小，經(jīng)過制定信息平安方針，采取適當(dāng)?shù)目刂颇康呐c控制方式對風(fēng)險進展控制，使風(fēng)險被防止、轉(zhuǎn)移或降至一個可被接受的程度。在風(fēng)險管理方面應(yīng)思索控制費用與風(fēng)險之間的平衡。平安控制Security control：降低平安風(fēng)險的慣例，程序或機制。剩余風(fēng)險(Residual risk )：實施平安控制后，剩余的平安風(fēng)險。2風(fēng)險評價根本步驟風(fēng)險評價可以明確平安需求及確定真實可行的控制措施,全面系統(tǒng)的風(fēng)險評價是實施有效的風(fēng)險管理的根底,風(fēng)險評價應(yīng)思索的要素包括:* 信息資產(chǎn)及其價值；* 對這些資產(chǎn)的要挾，以及它

11、們發(fā)生的能夠性；* 薄弱點；* 在適當(dāng)?shù)牡胤接煽刂扑峁┑木S護；風(fēng)險評價的根本步驟為：* 按照組織商務(wù)運作流程進展資產(chǎn)識別，并根據(jù)估價原那么對資產(chǎn)進展估價；* 根據(jù)資產(chǎn)所處的環(huán)境進展要挾識別與評價；* 對應(yīng)每一要挾，對資產(chǎn)或組織存在的薄弱點進展識別與評價；* 對已采取的平安控制進展確認；* 建立風(fēng)險丈量的方法及風(fēng)險等級評價原那么，確定風(fēng)險的大小與等級。3風(fēng)險評價與管理方法在風(fēng)險評價和風(fēng)險管理方法被運用的過程中，評價時間、力度、以及詳細開展的深度應(yīng)與組織的環(huán)境和平安要求相稱。例如，假設(shè)組織和它的資產(chǎn)大多數(shù)只需求一個低等到中等的平安要求，根本的風(fēng)險評價方法就足夠了。假設(shè)平安要求更高，要求更詳細的和

12、專業(yè)的處置，那么就必需用一個詳細的風(fēng)險評價方法。3.1根本的風(fēng)險評價根本的風(fēng)險評價是指運用直接和簡易的方法到達根本的平安程度，就能滿足組織及其商業(yè)環(huán)境的一切要求。這種方法適用于商業(yè)運作不是非常復(fù)雜的組織，并且組織對信息處置和網(wǎng)絡(luò)的依賴程度不高。這個方法包括對組織所思索的信息和財富平安要求的一個系統(tǒng)的評價，識別那些令人稱心的控制目的和滿足這些目的的一系列控制的選擇。根本風(fēng)險評價方法有許多優(yōu)點，例如： * 風(fēng)險評價所需資源最少，簡便易實施。* 同樣或類似的控制能被許多信息平安管理體系所采用，不需求耗費很大的精神。假設(shè)一個組織的多個信息平安管理體系在一樣的環(huán)境里運作，并且商業(yè)要求類似，這些控制可以提

13、供一個破費有效的處理方案。這個方法的缺陷：* 假設(shè)平安程度被設(shè)置的太高，就能夠需求過多的費用或控制過度；假設(shè)程度太低，對一些組織來講，能夠不會得到充分的平安；* 管理平安相關(guān)的改動能夠有困難。例如，假設(shè)一個信息平安管理體系被晉級，評價最初的控制能否依然充分就有一定困難。3.2詳細的風(fēng)險評價這個方法包括資產(chǎn)的詳細識別和估價，以及那些對資產(chǎn)的要挾和相關(guān)弱點程度的評價，上述結(jié)果被用于評價風(fēng)險并隨后被用于平安控制的識別和選擇。 經(jīng)過識別資產(chǎn)的風(fēng)險并將風(fēng)險降低到可接受程度，來證明管理者所采用的平安控制是適當(dāng)?shù)摹Ｔ敿毜娘L(fēng)險評價能夠是非常耗費財力的徹底的過程，因此需求非常細致地制定被評價的信息系統(tǒng)范圍內(nèi)的商

14、務(wù)環(huán)境、運作、信息和資產(chǎn)的邊境。它也是一個需求管理者繼續(xù)關(guān)注的方法。這一方法是將平安風(fēng)險作為資產(chǎn)、要挾及薄弱點的函數(shù)來進展識別與評價。根據(jù)被評價的風(fēng)險，可以從有關(guān)平安管理規(guī)范中選擇平安控制。整個方法不同于上面的根本風(fēng)險評價方法, 由于需求對資產(chǎn)、要挾和薄弱點進展更為詳細的分析，且包括運用：對資產(chǎn)闡明它們的價值，商業(yè)重要性、要挾闡明它們的嚴重性和薄弱點闡明有關(guān)它們的弱點和敏感性的程度或丈量進展丈量與賦值；運用風(fēng)險評價定義的風(fēng)險丈量方法完成風(fēng)險丈量。詳細風(fēng)險評價的優(yōu)點：一是獲得一個更準確的平安風(fēng)險的認識，從而更為準確地識別反映組織平安要求的平安程度；另一方面，可以從詳細的風(fēng)險評價中獲得的額外信息使

15、與組織更改相關(guān)的平安管理受害。這個方法的缺陷是：它要破費相當(dāng)?shù)臅r間、精神和技術(shù)去獲得可行的結(jié)果。 3.3結(jié)合評價方法此方法首先運用根本的風(fēng)險評價方法識別信息平安管理體系范圍內(nèi)具有潛在的高風(fēng)險或?qū)ι虡I(yè)運作來說極為關(guān)鍵的資產(chǎn)。根據(jù)根本的風(fēng)險評價的結(jié)果，將信息平安管理體系范圍內(nèi)的資產(chǎn)分成兩類，一類需求運用一個詳細的風(fēng)險評價方法以到達適當(dāng)維護，另一類經(jīng)過根本的評價方法選擇的控制就足矣。這個方法將根本和詳細風(fēng)險評價方法優(yōu)點結(jié)合起來，即節(jié)省評價所破費的時間與精神，又能確保獲得一個全面系統(tǒng)的評價結(jié)果，而且，組織的資源與資金可以被運用在最能發(fā)揚作用的地方，具有高風(fēng)險的信息系統(tǒng)可以被預(yù)先關(guān)注。這個方法的缺陷：假設(shè)在高風(fēng)險內(nèi)的信息系統(tǒng)的識別不正確，那么它能夠?qū)е洛e誤的結(jié)果。4 風(fēng)險評價/管理方法的選擇需求思索的要素組織可采取不同的風(fēng)險評價和風(fēng)險管理方法，一個方法能否適宜于特定組織有很多影響要素，包括：* 商務(wù)環(huán)境；* 商務(wù)性質(zhì)和重要性；