資源描述:
《信息安全管理標(biāo)準(zhǔn)BS7799-22002介紹及風(fēng)險(xiǎn)評(píng)估》由會(huì)員上傳分享���,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、信息安全管理標(biāo)準(zhǔn)BS7799-2:2002介紹及風(fēng)險(xiǎn)評(píng)估InformationSecurityManagementStandardBS7799-2:2002ANDRiskAssessment山東科飛管理咨詢公司王毅剛吳昌倫摘要:介紹了信息安全管理體系標(biāo)準(zhǔn)的發(fā)展及2002年9月5日英國標(biāo)準(zhǔn)委員會(huì)BSI正式發(fā)布的信息安全管理標(biāo)準(zhǔn)BS7799-2:2002�����,著重介紹了標(biāo)準(zhǔn)改版的原因及其與其他管理標(biāo)準(zhǔn)的相容性�。對(duì)于建立信息安全管理體系的重點(diǎn)部分--風(fēng)險(xiǎn)評(píng)估,也作了簡要地介紹����。一、BS7799信息安全管理體系標(biāo)準(zhǔn)的發(fā)展隨著在世界范圍內(nèi)�,信息化水平的不斷發(fā)展,信息安全逐漸成為人們關(guān)
2�、注的焦點(diǎn)�����,世界范圍內(nèi)的各個(gè)機(jī)構(gòu)����、組織����、個(gè)人都在探尋如何保障信息安全的問題��。英國���、美國、挪威���、瑞典�、芬蘭��、澳大利亞等國均制定了有關(guān)信息安全的本國標(biāo)準(zhǔn)�����,國際標(biāo)準(zhǔn)化組織(ISO)也發(fā)布了ISO17799����、ISO13335、ISO15408等與信息安全相關(guān)的國際標(biāo)準(zhǔn)及技術(shù)報(bào)告�����。目前,在信息安全管理方面��,英國標(biāo)準(zhǔn)BS7799已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)�����,它是在BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下制定完成��。BS7799標(biāo)準(zhǔn)于1993年由英國貿(mào)易工業(yè)部立項(xiàng)����,于1995年英國首次出版BS7799-1:1995《信息安全管理實(shí)施細(xì)則》,它提供了一套綜合
3�����、的����、由信息安全最佳慣例組成的實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)���,并且適用于大���、中、小組織���。1998年英國公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》�,它規(guī)定信息安全管理體系要求與信息安全控制要求�����,它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)����,它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布�,1999版考慮了信息處理技術(shù),尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展��,同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任����。2000年12月,BS7799-1:1999《信息安全管理實(shí)施細(xì)
4�����、則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可���,正式成為國際標(biāo)準(zhǔn)-----ISO/IEC17799-1:2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》��。2002年9月5日��,BS7799-2:2002草案經(jīng)過廣泛的討論之后���,終于發(fā)布成為正式標(biāo)準(zhǔn)�����,同時(shí)BS7799-2:1999被廢止?���,F(xiàn)在����,BS7799標(biāo)準(zhǔn)已得到了很多國家的認(rèn)可,是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)����。目前除英國之外,還有荷蘭�、丹麥、澳大利亞���、巴西等國已同意使用該標(biāo)準(zhǔn)���;日本、瑞士�����、盧森堡等國也表示對(duì)BS7799標(biāo)準(zhǔn)感興趣�����,我國的臺(tái)灣���、香港也在推廣該標(biāo)準(zhǔn)���。許多國家的政府機(jī)構(gòu)、銀行��、證券�����、保險(xiǎn)公司�、電信運(yùn)營商��、網(wǎng)絡(luò)公司及許
5��、多跨國公司已采用了此標(biāo)準(zhǔn)對(duì)自己的信息安全進(jìn)行系統(tǒng)的管理�����。截至2002年9月����,全球共有142家各類組織通過了BS7799信息安全管理體系認(rèn)證��。二��、BS7799-2:2002簡介2002年9月5日�,BSI發(fā)布了最新版的BS7799-2:2002標(biāo)準(zhǔn),新版的標(biāo)準(zhǔn)結(jié)構(gòu)如下:0引言1范圍2引用標(biāo)準(zhǔn)3術(shù)語及定義4信息安全管理體系5管理職責(zé)6資源管理7ISMS評(píng)審8改進(jìn)可以看出BS7799-2:2002標(biāo)準(zhǔn)結(jié)構(gòu)上的修訂,更加貼近ISO9001:2000����,更好的采用了過程的方法,利用PDCA的循環(huán)不斷改進(jìn)信息安全管理體系��,這也是BS7799-2:2002與BS7799-2:1999的一
6��、個(gè)重要的差別���。以下是標(biāo)準(zhǔn)改版的動(dòng)因:修訂BS7799第二部分標(biāo)準(zhǔn)�����,主要是為了:·與其它管理體系標(biāo)準(zhǔn)協(xié)調(diào)一致��,例如ISO9000和ISO14001���;·引入并應(yīng)用PDCA(計(jì)劃、實(shí)施�����、檢查�、措施)過程模式,以建立����、實(shí)施組織的信息安全管理體系,并持續(xù)改進(jìn)其有效性���。(圖1)BS7799-2:2002信息安全管理體系規(guī)范作為體系認(rèn)證的唯一參考標(biāo)準(zhǔn)�����,其修訂版中有下列幾個(gè)突出的部分:1��、標(biāo)準(zhǔn)第4節(jié)到第7節(jié)規(guī)定了基于PDCA過程模式的信息安全管理體系��。這是對(duì)包含在1999版第3節(jié)中的"過程"的擴(kuò)充����。2、1999版第4節(jié)中的控制目標(biāo)和控制方式在標(biāo)準(zhǔn)附錄A中表述��。附錄包含的控制目標(biāo)與控制方
7����、式來自ISO/IEC17799:2000。3����、標(biāo)準(zhǔn)附錄B中提供了修訂版的解釋和使用指南。4�、標(biāo)準(zhǔn)附錄C中列出了BS7799-2:2002、ISO9001:2000和ISO14001:1996個(gè)章節(jié)之間的對(duì)應(yīng)關(guān)系����。5、修訂過程中,將適用性聲明(SoA)的定義從主要內(nèi)容中刪除����,在附錄B(參考附錄B1.4)中增加了適用性聲明的概念,以及對(duì)控制概要的理解�����。另外���,為了與其它管理體系標(biāo)準(zhǔn)保持一致����,內(nèi)容中還增加了"范圍"的界定�����,關(guān)于標(biāo)準(zhǔn)要求的排除�,以及與標(biāo)準(zhǔn)符合的聲明�����。BDD第3小組與BS7799國際用戶組織(IUG)為了包括國際方面的要求特制訂了本修
