信息安全管理标准BS7799-2:2002介绍及风险评估InformationSecurityManagementStandardBS7799-2:2002ANDRiskAssessment山东科飞管理咨询公司王毅刚吴昌伦摘要:介绍了信息安全管理体系标准的发展及2002年9月5日英国标准委员会BSI正式发布的信息安全管理标准BS7799-2:2002,着重介绍了标准改版的原因及其与其他管理标准的相容性。对于建立信息安全管理体系的重点部分--风险评估,也作了简要地介绍。一、BS7799信息安全管理体系标准的发展随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准BS7799已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,BS7799-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时BS7799-2:1999被废止。现在,BS7799标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。目前除英国之外,还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准;日本、瑞士、卢森堡等国也表示对BS7799标准感兴趣,我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。截至2002年9月,全球共有142家各类组织通过了BS7799信息安全管理体系认证。二、BS7799-2:2002简介2002年9月5日,BSI发布了最新版的BS7799-2:2002标准,新版的标准结构如下:0引言1范围2引用标准3术语及定义4信息安全管理体系5管理职责6资源管理7ISMS评审8改进可以看出BS7799-2:2002标准结构上的修订,更加贴近ISO9001:2000,更好的采用了过程的方法,利用PDCA的循环不断改进信息安全管理体系,这也是BS7799-2:2002与BS7799-2:1999的一个重要的差别。以下是标准改版的动因:修订BS7799第二部分标准,主要是为了:与其它管理体系标准协调一致,例如ISO9000和ISO14001;引入并应用PDCA(计划、实施、检查、措施)过程模式,以建立、实施组织的信息安全管理体系,并持续改进其有效性。(图1)BS7799-2:2002信息安全管理体系规范作为体系认证的唯一参考标准,其修订版中有下列几个突出的部分:1、标准第4节到第7节规定了基于PDCA过程模式的信息安全管理体系。这是对包含在1999版第3节中的过程的扩充。2、1999版第4节中的控制目标和控制方式在标准附录A中表述。附录包含的控制目标与控制方式来自ISO/IEC17799:2000。3、标准附录B中提供了修订版的解释和使用指南。4、标准附录C中列出了BS7799-2:2002、ISO9001:2000和ISO14001:1996个章节之间的对应关系。5、修订过程中,将适用性声明(SoA)的定义从主要内容中删除,在附录B(参考附录B1.4)中增加了适用性声明的概念,以及对控制概要的理解。另外,为了与其它管理体系标准保持一致,内容中还增加了范围的界定,关于标准要求的排除,以及与标准符合的声明。BDD第3小组与BS7799国际用户组织(IUG)为了包括国际方面的要求特制订了本修订版。此次指定是以来自不同国家的专家和组织的文献为基础,并由来自不同国家的专家和组织评审和讨论这些文献。三、BS7799-2:2002与ISO9001:2000及ISO14001:1996的对比ISO9001:2000、ISO14001:1996与BS7799-2:2002章节间的对应关系四、信息安全管理体系建立的重要环节--风险评估组织实施BS7799的目的应该是按照先进的信息安全管理标准建立完整的信息安全管理体系(ISMS)并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。BS7799-2:2002标准条款4.2.1策划过程要求组织建立信息安全管理体系应该(Shall)定义风险评估的系统性方法、识别风险、进行风险评估、识别并评价风险处理的方法、为风险的处理选择控制目标与控制方式。作为体系的策划过程,风险评估方法的科学性、系统性以及其评估结果的质量很大程度上决定了ISMS的成功建立,及它对组织的价值。1风险评估的基本概念与风险评估有关的概念威胁(Threat):是指可能对资产或组织造成损害的事故的潜在原因。薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。风险(Risk):特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估(Riskassessment):对信息和信息处理设施的威胁(threat)、影响(impact)和薄弱点(vulnerability)及三者发生的可能性的评估。与风险管理有关的概念风险管理(Riskmanagement):以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理是一个识别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。安全控制(Securitycontrol):降低安全风险的惯例,程序或机制。剩余风险(Residualrisk):实施安全控制后,剩余的安全风险。2风险评估基本步骤风险评估可以明确安全需求及确定切实可行的控制措施,全面系统的风险评估是实施有效的风险管理的基础,风险评估应考虑的因素包括:*信息资产及其价值;*对这些资产的威胁,以及它们发生的可能性;*薄弱点;*在适当的地方由控制所提供的保护;风险评估的基本步骤为:*按照组织商务运作流程进行资产识别,并根据估价原则对资产进行估价;*根据资产所处的环境进行威胁识别与评价;*对应每一威胁,对资产或组织存在的薄弱点进行识别与评价;*对已采取的安全控制进行确认;*建立风险测量的方法及风险等级评价原则,确定风险的大小与等级。3风险评估与管理方法在风险评估和风险管理方法被应用的过程中,评估时间、力度、以及具体开展的深度应与组织的环境和安全要求相称。例如,如果组织和它的资产大多数只需要一个低等到中等的安全要求,基本的风险评估方法就足够了。如果安全要求更高,要求更具体的和专业的处理,那么就必须用一个具体的风险评估方法。3.1基本的风险评估基本的风险评估是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其商业环境的所有要求。这种方法适用于商业运作不是非常复杂的组织,并且组织对信息处理和网络的依赖程度不高。这个方法包括对组织所考虑的信息和财产安全要求的一个系统的评估,识别那些令人满意的控制目标和满足这些目标的一系列控制的选择。基本风险评估方法有许多优点,例如:*风险评估所需资源最少,简便易实施。*同样或类似的控制能被许多信息安全管理体系所采用,不需要耗费很大的精力。如果一个组织的多个信息安全管理体系在相同的环境里运作,并且商业要求类似,这些控制可以提供一个花费有效的解决方案。这个方法的缺点:*如果安全水平被设置的太高,就可能需要过多的费用或控制过度;如果水平太低,对一些组织来讲,可能不会得到充分的安全;*管理安全相关的改变可能有困难。例如,如果一个信息安全管理体系被升级,评估最初的控制是否仍然充分就有一定困难。3.2具体的风险评估这个方法包括资产的具体识别和估价,以及那些对资产的威胁和相关弱点水平的评估,上述结果被用于评估风险并随后被用于安全控制的识别和选择。通过识别资产的风险并将风险降低到可接受水平,来证明管理者所采用的安全控制是适当的。具体的风险评估可能是非常耗费财力的彻底的过程,因此需要非常细致地制定被评估的信息系统范围内的商务环境、运作、信息和资产的边界。它也是一个需要管理者持续关注的方法。这一方法是将安全风险作为资产、威胁及薄弱点的函数来进行识别与评估。根据被评估的风险,能够从有关安全管理标准中选择安全控制。整个方法不同于上面的基本风险评估方法,因为需要对资产、威胁和薄弱点进行更为具体的分析,且包括使用:对资产(说明它们的价值,商业重要性)、威胁(说明它们的严重性)和薄弱点(说明有关它们的弱点和敏感性的程度或测量)进行测量与赋值;使用风险评估定义的风险测量方法完成风险测量。具体风险评估的优点:一是获得一个更精确的安全风险的认识,从而更为精确地识别反映组织安全要求的安全水平;另一方面,可以从具体的风险评估中获得的额外信息使与组织更改相关的安全管理受益。这个方法的缺点是:它要花费相当的时间、精力和技术去获得可行的结果。3.3联合评估方法此方法首先使用基本的风险评估方法识别信息安全管理体系范围内具有潜在的高风险或对商业运作来说极为关键的资产。根据基本的风险评估的结果,将信息安全管理体系范围内的资产分成两类,一类需要应用一个具体的风险评估方法以达到适当保护,另一类通过基本的评估方法选择的控制就足矣。这个方法将基本和具体风险评估方法优点结合起来,即节省评估所花费的时间与精力,又能确保获得一个全面系统的评估结果,而且,组织的资源与资金能够被应用在最能发挥作用的地方,具有高风险的信息系统能够被预先关注。这个方法的缺点:如果在高风险内的信息系统的识别不正确,那么它可能导致错误的结果。4风险评估/管理方法的选择需要考虑的因素组织可采取不同的风险评估和风险管理方法,一个方法是否适合于特定组织有很多影响因素,包括:*商务环境;*商务性质和重要性;*对支持组织商务的信息系统的技术性和非技术性的依赖;*商务及其支持系统、应用软件和服务的复杂性;*商业伙伴和外部业务以及合同关系的数量。作为一个通用的经验规则,信息安全对组织及其商务越重要,一旦遭受威胁损害,损失就越多;这就需要对安全投入更多的时间和资源。本文仅仅向读者介绍了BS7799-2:2002标准的框架及建立信息安全管理体系的重点--风险评估的基本知识,由于新版标准刚刚发布,笔者对于标准的理解还有待加深,也希望各位读者对于本文的不当之处给予批评指正。E-mail:sd@cofly.com