编者按:近年来,每天都有许多信息安全被破坏的报告。如何评定安全风险?如何建立安全要求?应该选择哪些控制方法来确保将风险减少到可以接受的程度?基于BS7799上的ISO/IEC17799信息安全新标准,将是您确保安全的不二法门……
信息安全的主要内容为保密性、完整性和可用性,并对维持组织的竞争优势、现金流转、赢利、守法和商业形象起着至关重要的作用。然而,各组织及其信息系统和网络正面临着广泛来源的安全威胁,这些威胁不仅包括计算机辅助欺诈、间谍活动、破坏、火灾或水灾,还包括了诸如计算机病毒、黑客捣乱、DoS攻击等等。随着对信息系统和服务的依赖程度的增加,组织面对安全威胁将更为脆弱。
ISO/IEC17799作为信息安全管理实用规则,针对信息安全管理给出了详细的、文件化的、易操作的建议,给组织的信息安全管理提供了最佳实践指导。
标准的十个方面
信息安全管理实用规则ISO/IEC17799的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出、1995年5月修订而成,并于1999年重新修改了该标准。BS7799分为两个部分:BS77991,信息安全管理实施规则;BS77992,信息安全管理体系规范。
ISO/IEC17799(BS77991)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。ISO/IEC17799包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。这127个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南,这十个方面分别是:
(1)安全政策:制定信息安全方针,为信息安全提供管理指导和支持。
(2)组织安全:建立信息安全基础设施,来管理组织范围内的信息安全;维持被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,维护信息的安全。
(3)资产的分类与控制:核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。
(4)人员安全:注意工作职责定义和人力资源中的安全,以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,确保用户知道信息安全威胁和事务,并准备好在其正常工作过程中支持组织的安全政策;制定对安全事故和故障的响应流程,使安全事故和故障的损害减到最小,并监视事故和从事故中学习。
(5)物理和环境的安全:定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或泄露和业务活动的中断;同时还要做好一般控制,以防止信息和信息处理设施的泄露或盗窃。
(6)通信和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统故障的风险减低到最小;防范恶意软件,保护软件和信息的完整性;建立内务规程,以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全,以及保护其支持基础设施;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
(7)访问控制:制定访问控制的业务要求,以控制对信息的访问;建立全面的用户访问管理,避免信息系统的未授权访问;让用户了解他对维护有效访问控制的职责,防止未授权用户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,防止对计算机的未授权访问;建立应用访问控制,防止未授权用户访问保存在信息系统中的信息;监视系统访问和使用,检测未授权的活动;当使用移动计算和远程工作时,也要确保信息安全。
(8)系统开发和维护:标识系统的安全要求,确保安全被构建在信息系统内;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;使用密码控制,保护信息的保密性、真实性或完整性;控制对系统文件的访问,确保按安全方式进行IT项目和支持活动;严格控制开发和支持过程,维护应用系统软件和信息的安全。
(9)业务持续性管理:目的为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响。
(10)符合性:信息系统的设计、操作、使用和管理要符合法律要求,避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求;定期审查安全政策和技术符合性,确保系统符合组织安全政策和标准;还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。
我国标准积极制定
2002年4月,我国成立了“全国信息安全标准化技术委员会(TC260)”,该标委会是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。信息安全标委会设置了10个工作组,其中信息安全管理(含工程与开发)工作组(WG7)负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。
目前,WG7工作组正在着手制定推荐性国家标准《信息技术信息安全管理实用规则》,该标准的采用程度为等同采用标准,也就是说该标准与ISO/IEC17799相同,除了纠正排版或印刷错误、改变标点符号、增加不改变技术内容的说明和指示之外不改变标准技术的内容。
标准为企业提高综合竞争力
ISO/IEC17799提供了一套综合的、由信息安全最佳实施组成的实施规则,它广泛地涵盖了几乎所有的安全议题,非常适合于作为工商业及大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。
虽然我国信息安全标委会不是将ISO/IEC17799作为强制性国家标准引入,而是仅作为推荐性国家标准推行,但是企业和组织仍然可以将ISO/IEC17799作为衡量信息安全管理体系规范程度的一个标准和指标。
建立信息安全管理体系并获得经认可的认证公司的认证,不仅能提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小安全遭到破坏带来的损失,保证业务的可持续运作;并且能向客户及利益相关方展示组织对信息安全的承诺,增强投资方和股票持有者的投资信息,向政府及行业主管部门证明组织对相关法律法规的符合,并且得到国际上的承认。尤其对于银行、证券、电子商务、ISP等服务提供商来说,可以借此向客户展示其服务相比其他竞争对手更加安全、可靠,树立和增强企业的信息安全形象,提高企业的综合竞争力。
