信息安全管理业务手则前言BS7799本部分内容,即信息安全管理,是在BSI/DISC委员会BDD/2指导下完成的。它取代了已经停止使用的BS7799:1995。BS7799由两个部分组成:a)第一部分:信息安全管理业务守则;b)第二部分:信息安全管理系统规范。BS7799-1首发于1995年,它为信息安全提供了一套全面综合最佳实践经验的控制措施。其目的是将信息系统用于工业和商业用途时为确定实施控制措施的范围提供一个参考依据,并且能够让各种规模的组织所采用。本标准使用组织这一术语,既包括赢利性组织,也包括诸如公共部门等非赢利性组织。1999年的修订版考虑到最新的信息处理技术应用,特别是网络和通讯的发展情况。它也更加强调了信息安全所涉及的商业问题和责任问题。本文档所说明的控制措施不可能完全适用于所有情况。它没有考虑到本地系统、环境或技术上的制约因素。并且在形式上也不可能完全适合组织的所有潜在用户。因此,本文档还需要有进一步的指导说明作为补充。例如,在制定公司策略或公司间贸易协定时,可以使用本文档作为一个基石。BritishStandard作为一个业务守则,在形式上采用指导和建议结合的方式。在使用时,不应该有任何条条框框,尤其特别注意,不要因为要求遵守守则而因噎废食。本标准在起草时就已经假定一个前提条件,即标准的执行对象是具有相应资格的、富有经验的有关人士。附件A的信息非常丰富,其中包含一张表,说明了1995年版各部分与1999年版各条款间的关系。BritishStandard无意包容合约的所有必要条款。BritishStandards的用户对他们正确使用本标准自负责任。符合BritishStandard不代表其本身豁免法律义务。什么是信息安全?信息是一种资产,就象其它重要的商业资产一样,它对一个组织来说是有价值的,因此需要妥善进行保护。信息安全保护信息免受多种威胁的攻击,保证业务连续性,将业务损失降至最少,同时最大限度地获得投资回报和利用商业机遇。信息存在的形式多种多样。它可以打印或写在纸上,以电子文档形式储存,通过邮寄或电子手段传播,以胶片形式显示或在交谈中表达出来。不管信息的形式如何,或通过什么手段进行共享或存储,都应加以妥善保护。信息安全具有以下特征:a)保密性:确保只有经过授权的人才能访问信息;b)完整性:保护信息和信息的处理方法准确而完整;c)可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。为什么需要信息安全信息和支持进程、系统以及网络都是重要的业务资产。为保证组织富有竞争力,保持现金流顺畅和组织赢利,以及遵纪守法和维护组织的良好商业形象,信息的保密性、完整性和可用性是至关重要的。各个组织及其信息系统和网络所面临的安全威胁与日俱增,来源也日益广泛,包括利用计算机欺诈、窃取机密、恶意诋毁破坏等行为以及火灾或水灾。危害的来源多种多样,如计算机病毒、计算机黑客行为、拒绝服务攻击等等,这些行为呈蔓延之势遍、用意更加险恶,而且手段更加复杂。组织对信息系统和服务的依赖意味着自身更容易受到安全威胁的攻击。公共网络与专用网络的互联以及对信息资源的共享,增大了对访问进行控制的难度。分布式计算尽管十分流行,但降低了集中式专家级控制措施的有效性。很多信息系统在设计时,没有考虑到安全问题。通过技术手段获得安全保障十分有限,必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划,并对细节问题加以注意。作为信息安全管理的最基本要求,组织内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施,那么信息安全控制的成本会很低,并更有效率。如何制定安全要求组织确定自己的安全要求,这是安全保护的起点。安全要求有三个主要来源。第一个来源是对组织面临的风险进行评估的结果。通过风险评估,确定风险和安全漏洞对资产的威胁,并评价风险发生的可能性以及潜在的影响。第二个来源是组织、其商业伙伴、承包商和服务提供商必须满足的法律、法令、规章以及合约方面的要求。第三个来源是一组专门的信息处理的原则、目标和要求,它们是组织为了进行信息处理必须制定的。评估安全风险安全要求是通过对安全风险的系统评估确定的。应该将实施控制措施的支出与安全故障可能造成的商业损失进行权衡考虑。风险评估技术适用于整个组织,或者组织的某一部分以及独立的信息系统、特定系统组件或服务等。在这些地方,风险评估技术不仅切合实际,而且也颇有助益。进行风险评估需要系统地考虑以下问题:a)安全故障可能造成的业务损失,包含由于信息和其它资产的保密性、完整性或可用性损失可能造成的后果;b)当前主要的威胁和漏洞带来的现实安全问题,以及目前实施的控制措施。评估的结果有助于指导用户确定适宜的管理手段,以及管理信息安全风险的优先顺序,并实施所选的控制措施来防范这些风险。必须多次重复执行评估风险和选择控制措施的过程,以涵盖组织的不同部分或各个独立的信息系统。对安全风险和实施的控制措施进行定期审查非常重要,目的是:a)考虑业务要求和优先顺序的变更;b)考虑新出现的安全威胁和漏洞;c)确认控制措施方法是否适当和有效。应该根据以前的评估结果以及管理层可以接受的风险程度变化对系统安全执行不同程度的审查。通常先在一个较高的层次上对风险进行评估(这是一种优先处理高风险区域中的资源的方法),然后在一个具体层次上处理特定的风险。选择控制措施一旦确定了安全要求,就应选择并实施适宜的控制措施,确保将风险降低到一个可接受的程度。可以从本文档或其它控制措施集合选择适合的控制措施,也可以设计新的控制措施,以满足特定的需求。管理风险有许多方法,本文档提供了常用方法的示例。但是,请务必注意,其中一些方法并不适用于所有信息系统或环境,而且可能不适用于所有组织。例如,8.1.4说明了如何划分责任来防止欺诈行为和错误行为。在较小的组织中很难将所有责任划分清楚,因此需要使用其它方法以达到同样的控制目的。在降低风险和违反安全造成的潜在损失时,应该根据实施控制措施的成本选择控制措施。还应该考虑声誉受损等非货币因素。本文档中的一些控制措施可以作为信息安全管理的指导性原则,这些方法适用于大多数组织。在下文的“信息安全起点”标题下,对此做了较为详细的解释。信息安全起点很多控制措施都可以作为指导性原则,它们为实施信息安全提供了一个很好的起点。这些方法可以是根据基本的法律要求制定的,也可以从信息安全的最佳实践经验中获得。从规律规定的角度来看,对组织至关重要的控制措施包括:a)知识产权(参阅12.1.2);b)组织记录的保护(参阅12.1.3);c)对数据的保护和个人信息的隐私权保护(参阅12.1.4)。在保护信息安全的实践中,非常好的常用控制措施包括:a)信息安全策略文档(参阅3.1.1);b)信息安全责任的分配(参阅4.1.3);c)信息安全教育和培训(参阅6.2.1);d)报告安全事故(参阅6.3.1);e)业务连续性管理(参阅11.1)。这些控制措施适用于大多数组织,并可在大多数环境中使用。请注意,尽管本文档中的所有文档都很重要,但一种方法是否适用,还是取决于一个组织所面临的特定安全风险。因此,尽管采用上述措施可以作为一个很好的安全保护起点,但不能取代根据风险评估结果选择控制措施的要求。成功的关键因素以往的经验表明,在组织中成功地实施信息安全保护,以下因素是非常关键的:a)反映组织目标的安全策略、目标以及活动;b)与组织文化一致的实施安全保护的方法;c)来自管理层的实际支持和承诺;d)对安全要求、风险评估以及风险管理的深入理解;e)向全体管理人员和雇员有效地推销安全的理念;f)向所有雇员和承包商宣传信息安全策略的指导原则和标准;g)提供适当的培训和教育;h)一个综合平衡的测量系统,用来评估信息安全管理的执行情况和反馈意见和建议,以便进一步改进。制定自己的指导方针业务规则可以作为制定组织专用的指导原则的起点。本业务规则中的指导原则和控制措施并非全部适用。因此,还可能需要本文档未包括的其它控制措施。出现上述情况时,各控制措施之间相互参照很有用,有利于审计人员和业务伙伴检查是否符合安全指导原则。目录1...............................................................................122术语和定义..................................................................132.1信息安全...............................................................132.2风险评估...............................................................132.3风险管理...............................................................133安全策略....................................................................143.1信息安全策略............................................................143.1.1信息安全策略文档......................................................143.1.2审查评估..............................................................144组织的安全..................................................................154.1信息安全基础设施........................................................154.1.1管理信息安全论坛......................................................154.1.2信息安全的协调........................................................154.1.3信息安全责任的划分....................................................154.1.4信息处理设施的授权程序................................................164.1.5专家信息安全建议......................................................164.1.6组织间的合作..........................................................164.1.7信息安全的独立评审....................................................174.2第三方访问的安全性......................................................174.2.1确定第三方访问的风险..................................................174.2.2第三方合同的安全要求..................................................184.3外包...........