1 信息安全管理的重要意义
在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。
但现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。
目前业界普遍认为,信息安全是政府和企业必须携手面对的问题。政府和企业管理层有责任确保为所有使用者提供一个安全的信息系统环境,而且,政府部门和企业在认识到安全的信息系统好处的同时,应该自我保护以避免使用信息系统时的固有风险。
中国工程院院长徐匡迪曾指出:"没有安全的工程就是豆腐渣工程"。今年我国接连不断地出现程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。
我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化工作小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。
我们回头来看,政府和各行各业对信息安全的重要性有了认识,相关的标准规范正在形成,投资力度在加大,安全技术、产品、市场在发展,多数企业机构正在制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划。那么,我们为什么依然没有安全感呢?!到底需要什么样的方法或机制来管理或治理信息安全呢?经过近一年对国内外信息安全和最佳实务的研究,我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制,它包括治理机制和治理结构,这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准,并且和相关的法律和规范一致。从后面的分析阐述中,我们可以看到有效的信息安全治理是非常必要的。
BS 7799作为信息安全管理领域的一个权威标准,是全球业界一致公认的辅助信息安全治理的手段,该标准的最大意义就在于它给管理层一整套可"量体裁衣"的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架,这正是管理层能够接受并理解的,而此前与之对应的情形是:一旦出现信息安全事件,IT部门负责人就想到要采用最先进的信息安全技术,如购买先进的防火墙等等,客观上让人感觉到IT部门总是在花钱,这是管理层难以理解和不接受的。BS 7799 管理体系将IT策略和企业发展方向统一起来,确保IT资源用得其所,使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性,完整性和可用性来管理和保护组织的所有信息资产,通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制,组织按照这套标准管理信息安全风险,可持续提高管理的有效性和不断提高自身的信息安全管理水平,降低信息安全对持续发展造成的风险,最终保障组织的特定安全目标得以实现,进而利用信息技术为组织创造新的战略竞争机遇。
2 信息安全标准简介与适用范围
BS 7799主要提供了有效地实施IT安全管理的建议,介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,为公司发展、实施和估量有效的安全管理实践提供参考依据。该标准是由英国标准协会(BSI)制定,是目前英国最畅销的标准。在此,我们顺便介绍一下英国标准协会,英国标准协会是全球领先的国际标准、产品测试、体系认证机构。我们所熟知的ISO 9000(质量管理体系)、ISO 14001(环境管理体系)、OHSAS 18001(职业健康与安全管理体系)、QS-9000 / ISO/TS 16949(汽车供应行业的质量管理体系)以及TL 9000(电信供应行业的质量管理体系)均是由英国标准协会发起制定的,因此,如果企业已经实施了ISO 9000,就很容易整合实施其它的管理标准,当然也包括BS 7799。
BS 7799-1于1995年首次出版,标准规定了一套适用于工商业组织使用的信息系统的信息安全管理体系(ISMS)控制条件,包括网络和沟通中使用的信息处理技术,并提供了一套综合的信息安全实施规则,作为工商业组织的信息系统在大多数情况下所遵循的唯一参考基准,标准的内容定期进行评定。BS 7799:1999是1995版本的一个修订和扩展版本,它充分考虑了信息处理技术,尤其是网络和通信领域应用的最新发展,同时还强调了涉及商务的信息安全责任,扩展了新的控制。例如,新版本包括关于电子商务,移动计算机,远程工作和外部采办等领域的控制。
2000年12月,BS 7799-1通过国际化标准组织认可,正式成为国际标准ISO 17799,这是通过ISO 表决最快的一个标准,足见世界各国对该标准的关注和接受程度。目前,已有二十多个国家引用BS 7799-2作为国标,BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,其在欧洲的证书发放量已经超过ISO9001,越来越多的信息安全公司都以BS 7799 作指导为客户提供信息安全咨询服务。由此可见,BS 7799是国际上当之无愧的信息安全管理标准。
在该标准中,信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。信息安全的涵义主要体现在以下三个方面:
• 安全性:确保信息仅可让授权获取的人士访问;
• 完整性:保护信息和处理方法的准确和完善;
• 可用性:确保授权人需要时可以获取信息和相应的资产。
BS 7799信息安全管理体系标准强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式,导致的结果是不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失。而BS 7799标准基于风险管理的思想,指导组织建立信息安全管理体系ISMS。ISMS是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。
3 BS 7799的主要内容
下面主要以BS 7799:1999为例介绍标准的主要内容。该标准主要由两大部分组成:BS 7799-1:1999,以及BS 7799-2:1999。
3.1 第一部分(BS 7799-1)简介
信息安全管理实施规则,是作为国际信息安全指导标准ISO/IEC 17799基础的指导性文件,主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全。这一部分包括十大管理要项,三十六个执行目标,一百二十七种控制方法,如图一所示。其详细内容如表1所示:
附注:(m,n)- m:执行目标的数目 n:控制方法的数目
图一 十大管理要项图
表1 BS 7799 的内容列表
3.2 第二部分(BS 7799-2)简介
信息安全管理系统的规范,详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。本部分提出了应该如何了建立信息安全管理体系的步骤,如图1所示:
(1)定义信息安全策略
信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(2)定义ISMS的范围
ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估
信息安全风险评估的复杂程度将取决于风
