BS7799是英国标准协会(British Standards Institute,BSI)于1995年2月制定的信息安全标准,1999年5月,BSI对BS 7799进行了修订改版,发展成为后来最主要的一个版本,2000年12月,BS 7799内容中的第一部分被ISO采纳,正式成为ISO/IEC 17799标准,即国际信息安全管理标准体系(ISO 17799/BS 7799 Information Security Certification)。
BS7799-1与BS7799-2的关系
BS7799-1(ISO/IEC 1799:2000)《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全 控制提供了一个大众化的最佳惯例。BS7799-2《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独 立组织的需要应实施安全控制的要求。正如该标准的适用范围介绍的一样,本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系,进行有效的信 息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS7799-2明确提出信息安全管理要求,BS7799-1则对应 给出了通用的控制方法(措施),因此,BS7799-2才是认证的依据,严格的说组织获得的认证是获得了BS7799-2的认证,BS7799-1为 BS7799-2的具体实施提供了指南,但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。
相关链接:信息安全管理标准的进展
1、BS7799-1,信息安全管理实践要点。现已被国际标准化组织采纳为国际标准,版本号为ISO17799,在不同时期,出现过2000、2002版本。ISO17799:2005版6月份发布。
2、BS7799-2,信息安全管理体系规范。现已被国际标准化组织采纳为国际标准,版本号为ISO27001,2005版11月份发布。
3、GB/T19716-2005,信息安全管理实用规则。中国国家标准。2005年10月实施,该标准参考了1SO17799:2000。
ISO17799:2005的新架构
11个控制域、39个控制措施,133个控制点。
1. 安全策略(Security Policy):制定信息安全方针,为信息安全提供管理指导和支持。
2. 信息安全组织(Organizing information security):建立信息安全基础设施,来管理组织范围内的信息安全;维持被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,维护信息的安全。
3. 资产管理(Asset management):核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。
4. 人力资源安全(human resources security):注意工作职责定义和人力资源中的安全,以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,确保用户知道信息安全威胁和事务,并准备好在其正常工 作过程中支持组织的安全政策;制定对安全事故和故障的响应流程,使安全事故和故障的损害减到最小,并监视事故和从事故中学习。
5. 物理和环境安全(Physical and environmental security):定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或泄露和业务活动的中断;同时还要做好一般控制,以防止信息和信息处理设施的泄露或盗窃。
6. 通信和操作安全(Communications and operations management):制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统故障的风险减低到最小;防范恶意软件,保护软件和信息的完整性; 建立内务规程,以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全,以及保护其支持基础设施;建立媒体处置和安全的规程,防止资产损坏和 业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
7. 信息系统获得,发展和保持(Informations acquisition development and maintenance):标识系统的安全要求,确保安全被构建在信息系统内;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;使用密码控制,保护信息的保密性、 真实性或完整性;控制对系统文件的访问,确保按安全方式进行IT项目和支持活动;严格控制开发和支持过程,维护应用系统软件和信息的安全。
8. 访问控制(Access control):制定访问控制的业务要求,以控制对信息的访问;建立全面的用户访问管理,避免信息系统的未授权访问;让用户了解他对维护有效访问控制的职责,防止未授权用 户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,防止对计算机的未授权访问;建立应用访问控制,防止未授权用户访问保存在信息系 统中的信息;监视系统访问和使用,检测未授权的活动;当使用移动计算和远程工作时,也要确保信息安全。
9. 信息安全事件管理(information security incident management):适当的预测和响应信息安全破坏事件。
10. 业务连续性管理(Business continuity management):目的为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响。
11. 合规性(Compliance):信息系统的设计、操作、使用和管理要符合法律要求,避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求;定期审查安全政策和技术符合性,确保系统符合组织安全政策和标准;还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。
本文还暂无回复