什么是信息安全管理體系以及相關(guān)認(rèn)證BS7799
信息是一種資產(chǎn)��,一旦損毀����、丟失�、或被不適當(dāng)?shù)仄毓?��,?huì)給組織帶來(lái)一系列的損失�����,如“冰山原理”所描述�����,我們能直接感知到的數(shù)據(jù)的丟失�,只是整體損失的冰山一角,潛藏在水面下的部分��,可能會(huì)是直接損失的6~53倍�,這包括:損失了時(shí)間,替代的成本���,可能的法律風(fēng)險(xiǎn),聲譽(yù)受損���,丟失潛在的業(yè)務(wù)�����,競(jìng)爭(zhēng)力和生產(chǎn)力受損等等�。
這些損失是我們不愿意面對(duì)的�,因此信息安全越來(lái)越成為我們關(guān)注的熱點(diǎn)問(wèn)題。
三根支柱 不可偏廢
信息安全的問(wèn)題倍受關(guān)注�����,是信息技術(shù)發(fā)展到一定水平,信息化深入到一定程度之后的一個(gè)必然趨勢(shì)和結(jié)果����。
信息對(duì)于業(yè)務(wù)的重要性,或者講業(yè)務(wù)對(duì)于信息的依賴性���,使得信息安全問(wèn)題尤為突出��,另外一個(gè)方面�����,信息媒介的多樣性�����,信息傳播的廣泛性等因素也造就了保護(hù)信息安全的復(fù)雜度�����。
因此如何來(lái)保護(hù)信息安全�,怎么樣才能保護(hù)信息安全�����,成為技術(shù)廠商、管理專家經(jīng)常探討和論述的話題�����。
我們知道保障信息安全有三個(gè)支柱���,一個(gè)是技術(shù)�����、一個(gè)是管理���、一個(gè)是法律法規(guī)����。
而我們?nèi)粘L峒靶畔踩珪r(shí),多是在技術(shù)相關(guān)的領(lǐng)域�,例如IDS入侵檢測(cè)技術(shù)、Firewall防火墻技術(shù)����、Anti-Virus防病毒技術(shù)、加密技術(shù)����、CA認(rèn)證技術(shù)等等���。
這是因?yàn)樾畔踩夹g(shù)和產(chǎn)品的采納,能夠快速見到直接效益����,同時(shí),技術(shù)和產(chǎn)品的發(fā)展水平也相對(duì)較高�����,此外����,技術(shù)廠商對(duì)市場(chǎng)的培育,不斷提升著人們對(duì)信息安全技術(shù)和產(chǎn)品的認(rèn)知度�����。
雖然大家在面對(duì)信息安全事件時(shí)總是在嘆息:“道高一尺�、魔高一丈”,在反思自身技術(shù)的不足����,實(shí)質(zhì)上人們此時(shí)忽視的是另外兩個(gè)層面的保障�。
國(guó)家的法律法規(guī)方面���,有專門的部門在研究和制定和推廣����,不是本文探討的主題�,我們要討論的是,誰(shuí)來(lái)關(guān)注管理對(duì)信息安全的保障呢?這要靠組織自己通過(guò)意識(shí)提高���,管理水平的提升來(lái)逐步改善����。
正如“木桶原理”所示��,你的能力是由你弱的那個(gè)環(huán)節(jié)決定的�����,我們發(fā)展信息安全事業(yè)��,保護(hù)信息安全�����,也應(yīng)該從上述三個(gè)方面全面考量����,而不能只偏重其中的某一個(gè)部分。
管理體系如何架構(gòu)
當(dāng)我們考慮到用管理體系的方法來(lái)保護(hù)信息安全時(shí)����,BS7799信息安全管理體系標(biāo)準(zhǔn)無(wú)疑是一個(gè)很好的幫助:
BS7799是一套基于佳實(shí)踐的成功的信息安全管理體系方法,她早由英國(guó)商務(wù)部推動(dòng)���,由BSI將其發(fā)展成為標(biāo)準(zhǔn)�。
BS7799共分兩部分�,部分已經(jīng)在2000年被采納為ISO17799,是信息安全管理實(shí)踐指南�����,第二部分BS7799-2是信息安全管理體系規(guī)范����,換言之,第二部分告訴我們應(yīng)該做什么��,部分則提供了一些如何做或者好做法的指導(dǎo)���。
從中我們可以看到����,作為一個(gè)信息安全管理體系,輸入是相關(guān)方的信息安全的期望和要求����,經(jīng)過(guò)一個(gè)PDCA體系的循環(huán),得到的輸出將是各相關(guān)方信息安全要求的滿足��,也就是說(shuō)���,信息安全已經(jīng)受到管理和掌控��。
BS7799匯集了企業(yè)佳實(shí)踐��,規(guī)范了10個(gè)安全控制區(qū)域�,36個(gè)安全控制目標(biāo)和127個(gè)安全控制措施����。
她以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)��,自頂向下的管理方法����,從組織�����、人員����、流程�、技術(shù)、法律法規(guī)��、永續(xù)經(jīng)營(yíng)等全方位實(shí)施的管理體系��。
我們構(gòu)建一個(gè)信息安全管理體系��,需要考慮以下幾個(gè)步驟:
1. 定義范圍 2. 定義方針3. 確定風(fēng)險(xiǎn)評(píng)估的方法 4. 識(shí)別風(fēng)險(xiǎn) 5. 評(píng)估風(fēng)險(xiǎn) 6. 識(shí)別并評(píng)估風(fēng)險(xiǎn)處理的措施 7. 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施 8. 準(zhǔn)備適用性聲明
而構(gòu)建一個(gè)成功的信息安全管理體系的關(guān)鍵成功因素在于:1. 高領(lǐng)導(dǎo)層對(duì)管理體系的承諾���;
2. 體系與整個(gè)組織文化的一致性��,與業(yè)務(wù)營(yíng)運(yùn)目標(biāo)的一致性����;
3. 理清職責(zé)權(quán)限;
4. 有效的宣傳�����、培訓(xùn)�,提升意識(shí),不僅要針對(duì)內(nèi)部員工����,也要針對(duì)合作伙伴、供應(yīng)商����、外包服務(wù)商等。
5. 盤清信息資產(chǎn)�����、明確信息安全的要求�����,明晰風(fēng)險(xiǎn)評(píng)估和處理的方法和流程����;
6. 均衡的測(cè)量監(jiān)控體系,持續(xù)監(jiān)控各種變化,從監(jiān)控結(jié)果中尋求持續(xù)改進(jìn)的機(jī)會(huì)���。
信息安全管理體系當(dāng)前的發(fā)展:
BS7799-2可以提供認(rèn)證服務(wù),該標(biāo)準(zhǔn)是當(dāng)前唯一可以提供對(duì)組織的信息安全管理體系的認(rèn)證標(biāo)準(zhǔn)�����。
在實(shí)施了一套信息安全管理體系之后�,可以籍由第三方獨(dú)立認(rèn)證,向社會(huì)��、向公眾�、向客戶證實(shí)所實(shí)施體系的有效性和效果,提供信心保障����。
當(dāng)前全球已經(jīng)頒發(fā)了超過(guò)1000張證書,并且這個(gè)數(shù)字正在不斷增長(zhǎng)中����,證書主要集中在日本、英國(guó)���、印度�����、臺(tái)灣�����。
證書的分布主要在政府��、金融��、通信�、電子、物流等行業(yè)��。
我國(guó)已經(jīng)頒發(fā)證書10張����,當(dāng)前正處于一個(gè)蓄勢(shì)待發(fā)的階段。
BS7799標(biāo)準(zhǔn)已經(jīng)被很多國(guó)家和地區(qū)采納為國(guó)家標(biāo)準(zhǔn)或地區(qū)標(biāo)準(zhǔn)�����,如日本�、臺(tái)灣等地。
我國(guó)在這方面的工作也在進(jìn)展中����。
通過(guò)對(duì)《什么是信息安全管理體系以及相關(guān)認(rèn)證BS7799》的學(xué)習(xí)����,相信你對(duì)認(rèn)證有更好的認(rèn)識(shí)���。
如果要辦理相關(guān)認(rèn)證,請(qǐng)聯(lián)系我們吧�����。
