一、信息及信息安全 信息象其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。 信息安全的维持可表征为: 信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。 二、信息安全的重要性 信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。 任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。 目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。 有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。 至于应采取哪些控制方式则需要周密计划,并注意控制细节。信息安全管理需要组织中的所有雇员的参与,比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密,除物理控制外,还需要组织全体人员参与,加强控制。此外还需要供应商,顾客或股东的参与,需要组织以外的专家建议。 三、信息安全管理体系标准 1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。由于该标准采用建议和指导方式编写,因而不宜作为认证标准使用。 1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准-- BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。 1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1:1999和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998。新修订的1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。 BS7799-1:1999和BS7799-2:1999是一对配套标准,BS7799-1:1999为如何建立和实施符合BS7799-2:1999标准要求的信息安全管理体系提供了最佳的应用建议。 令人鼓舞的是,2000年12月,BS7799-1:1999已经被ISO/IEC正式采纳成为国际标准 -- ISO/IEC 17799:2000《信息技术 — 信息安全管理实施规则》,另外,BS7799-2:1999也即将于2002年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系规范》。 四、建立信息安全管理体系(ISMS)对任何组织都具有重要意义 任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如: 1. 缺少信息安全管理论坛,安全导向不明确,管理支持不明显; 通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明,任何组织都急需建立信息安全管理体系,以保障其技术和商业机密,保障信息的完整性和可用性,最终保持其生产、经营活动的连续性。 五、信息安全管理体系建立和运行步骤 BS7799-2:1999标准要求组织建立并保持一个文件化的信息安全管理体系,其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。 信息安全管理体系建立和运行步骤: 六、中国质量认证中心BS7799-2:1999推行工作简介 中国质量认证中心是目前国内唯一具有BS7799-2:1999建立与认证经历的机构,早在1999年末,CQC厦门评审中心就组织审核员和专业人员翻译了BS7799系列标准,并开展了国内最早的培训,2000初动员厦门人保推行BS7799-2:1999,并于2000年8月-10月对该企业实施了认证审核。 2001年,中心又指派了一名经验丰富的高级工程师/主任审核员对BS7799-2信息安全管理体系(ISMS)的建立进行了深入的研究,全程参与广东某公司的信息安全管理体系的建立和认证工作,为开展组织的信息安全体系积累丰富的经验。 |