信息安全管理的“标尺”

信息技术的发展和应用伴随企业对信息安全认识的不断深入，而建立一套信息安全管理的机制辅助企业实现信息安全策略，是企业各个层面的迫切需求。BS 7799作为领域的一个权威标准，是全球业界一致公认的辅助信息安全治理的手段。本系列专题将围绕BS 7799，介绍该标准的主要内容、实施情况和简单的评价。

随着信息技术的发展，企业对于信息系统的依赖性不断增长，而日益复杂的信息系统的运作风险也在不断加大，这使得信息安全管理成为企业管理越来越关键的一部分。到底应该采用怎样的策略和方法推动信息安全技术和产品的发展？建立怎样的机制来管理或治理信息安全呢？

经过近一年对国内外信息安全和最佳实战的研究，我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制，它包括治理机制和治理结构，这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准，并且和相关的法律和规范一致。

BS 7799作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理的手段，该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架，这正是管理层能够接受并理解的，而此前与之对应的情形是：一旦出现信息安全事件，IT部门负责人就想到要采用最先进的信息安全技术，如购买先进的防火墙等等，客观上让人感觉到IT部门总是在花钱，这是管理层难以理解和不接受的。

BS 7799管理体系将IT策略和企业发展方向统一起来，确保IT资源用得其所，使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性、完整性和可用性来管理和保护组织的所有信息资产，通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制，组织按照这套标准管理信息安全风险，可持续提高管理的有效性和不断提高自身的信息安全管理水平，降低信息安全对持续发展造成的风险，最终保障组织的特定安全目标得以实现，进而利用信息技术为组织创造新的战略竞争机遇。

BS 7799的主要内容

BS 7799主要由两大部分组成：BS 7799-1：1999（《信息安全管理实施细则》），以及BS 7799-2：1999（《信息安全管理体系规范》）。

BS 7799-1：1999作为国际信息安全指导标准ISO/IEC 17799基础的指导性文件，主要让负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。这一部分包括十大管理要项，三十六个执行目标，一百二十七种控制方法，如图1所示。其详细内容如表1所示。

　　附注：(m，n)－ m：执行目标的数目 n：控制方法的数目

　　图1 十大管理要项图

信息安全与信息安全管理

在该标准中，信息安全已不只是人们传统意义上的安全，即添加防火墙或路由器等简单的设备就可保证安全，而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁，保障业务的连续性，最大限度地减少业务的损失，从而最大限度地获取投资和业务的回报。信息安全的涵义主要体现在以下三个方面：

　　◆ 安全性：确保信息仅可让授权获取的人士访问；

　　◆ 完整性：保护信息和处理方法的准确和完善；

　　◆ 可用性：确保授权人需要时可以获取信息和相应的资产。

BS 7799信息安全管理体系标准强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式，导致的结果是不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失。而BS 7799标准基于风险管理的思想，指导组织建立信息安全管理体系ISMS（Information Security Management System）。ISMS是一个系统化、程序化和文件化的管理体系，基于系统、全面、科学的安全风险评估，体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要求，强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产，使信息风险的发生概率和结果降低到可接受收水平，确保信息的保密性、完整性和可用性，保持组织业务运作的持续性。

BS 7799-2:2002特点

新版本BS 7799-2:2002于2002年9月5日在英国发布。新版本同ISO 9001:2000(质量管理体系) 和ISO 14001:1996（环境管理体系）等国际知名管理体系标准采用相同的风格，使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于：

　　◆PDCA(Plan-Do-Check-Act)的模型

　　◆基于PDCA模型的基于过程的方法

　　◆对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述

　　◆对ISMS持续过程改进的重要性

　　◆文档和记录方面更清楚的需求

　　◆风险评估和管理过程的改进

　　◆对新版本使用提供指南的附录

新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型，按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程，特别介绍了基于PDCA模型的过程管理方法，并在附录中为解释或采用新版标准提供了指南，如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下：