| 出版日期:2001-01-11 总期号:989 本年期号:04 |
|
 |
英国最畅销的标准BS 7799
陈明奇 BS 7799,目前正在争取成为ISO 17799的进程之中。它作为信息安全管理方面的审核标准,对信息安全产业的作用和意义,就仿佛是ISO 9000质量认证标准之于许多制造业。通过该标准的认证,可以为企业提供可靠的安全服务,树立企业的信息安全形象。因此,该标准对信息安全产业及整个信息产业都将产生极大的影响。 BS 7799是英国标准协会制定的信息安全管理体系标准,已得到了一些国家的采纳,是国际上具有代表性的信息安全管理体系标准。目前除英国之外,还有荷兰、丹麦、澳大利亚、巴西等国已同意使用BS 7799;日本、瑞士、卢森堡表示对BS 7799感兴趣;我国的台湾、香港也在推广该标准。值得一提的是,该标准是目前英国最畅销的标准。 主要内容 英国标准BS 7799:1999是由BSI/DISC的BDD/2信息安全管理委员的指导下制订完成,它取代了被废止的BS 7799:1995。本文中的BS 7799如无特别说明都是指BS 7799:1999年版。 BS 7799分为两个部分:BS7799-1,信息安全管理实施细则;BS7799-2,信息安全管理体系规范。第一部分主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全;第二部分详细说明了建立、实施和维护信息安全管理系统的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。 它是一个组织全面或部分信息安全管理体系评估的基础,它可以作为一个非正式认证方案的基础。规定了建立、实施和文件化信息安全管理体系的要求。规定了根据独立组织的需要应实施安全控制的要求。 BS 7799-1于1995年首次出版,它提供了一套综合的、由信息安全最佳实施组成的实施规则。其目的是作为工商业及大、中、小组织的信息系统在大多数情况下所需的控制范围确定的唯一参考基准。1999年版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展。同时还非常强调了商务涉及的信息安全及信息安全的责任。 值得一提的是,BS 7799在标准里描述的所有控制方式并非都适合于每种情况,它不可能将当地的系统的、环境和技术限制考虑在内;它也不可能适合一个组织中的每个潜在的用户,因此,本标准还需在进一步的指导下加以补充。它可以作为诸如制订集团方针或公司之间达成贸易协议的基础。标准条款的实施应该由有经验的人承担。 七分管理,三分技术 它主要是告诉管理者一些安全管理的注意事项和安全制度,例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这恰巧符合信息安全的“七分管理,三分技术”的原则。这些管理规定一般的单位都可以制定,但要想达到BS 7799的全面性则需要一番努力。 同BS 7799相比,信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估;系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面,BS 7799的地位是其他标准无法取代的。总地来说,BS7799涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。 总而言之,BS 7799在某些方面可能不全面,但是它仍是目前可以用来达到一定预防标准的最好的指导标准, 因为BS7799是目前在信息安全管理标准方面最系统、最完整的一个标准。 |
||||||||||||||
