什么是信息安全管理體系以及相關(guān)認(rèn)證BS7799

時間：2020-09-04作者：廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司瀏覽：200

  信息是一種資產(chǎn)，一旦損毀、丟失、或被不適當(dāng)?shù)仄毓猓瑫o組織帶來一系列的損失，如“冰山原理”所描述，我們能直接感知到的數(shù)據(jù)的丟失，只是整體損失的冰山一角，潛藏在水面下的部分，可能會是直接損失的6~53倍，這包括：損失了時間，替代的成本，可能的法律風(fēng)險(xiǎn)，聲譽(yù)受損，丟失潛在的業(yè)務(wù)，競爭力和生產(chǎn)力受損等等。這些損失是我們不愿意面對的，因此信息安全越來越成為我們關(guān)注的熱點(diǎn)問題。

　　信息安全的問題倍受關(guān)注，是信息技術(shù)發(fā)展到一定水平，信息化深入到一定程度之后的一個必然趨勢和結(jié)果。信息對于業(yè)務(wù)的重要性，或者講業(yè)務(wù)對于信息的依賴性，使得信息安全問題尤為**，另外一個方面，信息媒介的多樣性，信息傳播的廣泛性等因素也造就了保護(hù)信息安全的復(fù)雜度。因此如何來保護(hù)信息安全，怎么樣才能保護(hù)信息安全，成為技術(shù)廠商、管理*經(jīng)常探討和論述的話題。

　　我們知道**信息安全有三個支柱，一個是技術(shù)、一個是管理、一個是法律法規(guī)。而我們?nèi)粘Ｌ峒靶畔踩珪r，多是在技術(shù)相關(guān)的領(lǐng)域，例如IDS入侵檢測技術(shù)、Firewall*墻技術(shù)、Anti-Virus防病毒技術(shù)、加密技術(shù)、CA認(rèn)證技術(shù)等等。這是因?yàn)樾畔踩夹g(shù)和產(chǎn)品的采納，能夠快速見到直接效益，同時，技術(shù)和產(chǎn)品的發(fā)展水平也相對較高，此外，技術(shù)廠商對市場的培育，不斷提升著人們對信息安全技術(shù)和產(chǎn)品的認(rèn)知度。雖然大家在面對信息安全事件時總是在嘆息：“道高一尺、魔高一丈”，在反思自身技術(shù)的不足，實(shí)質(zhì)上人們此時忽視的是另外兩個層面的**。

　　國家的法律法規(guī)方面，有專門的部門在研究和制定和推廣，不是本文探討的主題，我們要討論的是，誰來關(guān)注管理對信息安全的**呢?這要靠組織自己通過意識提高，管理水平的提升來逐步改善。

　　正如“木桶原理”所示，你的能力是由你較弱的那個環(huán)節(jié)決定的，我們發(fā)展信息安全事業(yè)，保護(hù)信息安全，也應(yīng)該從上述三個方面全面考量，而不能只偏重其中的某一個部分。

　　管理體系如何架構(gòu)

　　當(dāng)我們考慮到用管理體系的方法來保護(hù)信息安全時，BS7799信息安全管理體系標(biāo)準(zhǔn)無疑是一個很好的幫助：

　　BS7799是一套基于較佳實(shí)踐的成功的信息安全管理體系方法，她較早由英國商務(wù)部推動，由BSI將其發(fā)展成為標(biāo)準(zhǔn)。BS7799共分兩部分，**部分已經(jīng)在2000年被采納為ISO17799，是信息安全管理實(shí)踐指南，*二部分BS7799-2是信息安全管理體系規(guī)范，換言之，*二部分告訴我們應(yīng)該做什么，**部分則提供了一些如何做或者好做法的指導(dǎo)。

　　從中我們可以看到，作為一個信息安全管理體系，輸入是相關(guān)方的信息安全的期望和要求，經(jīng)過一個PDCA體系的循環(huán)，得到的輸出將是各相關(guān)方信息安全要求的滿足，也就是說，信息安全已經(jīng)受到管理和掌控。

　　BS7799匯集了優(yōu)秀企業(yè)較佳實(shí)踐，規(guī)范了10個安全控制區(qū)域，36個安全控制目標(biāo)和127個安全控制措施。她以風(fēng)險(xiǎn)評估為基礎(chǔ)，自**向下的管理方法，從組織、人員、流程、技術(shù)、法律法規(guī)、永續(xù)經(jīng)營等*實(shí)施的管理體系。

　　我們構(gòu)建一個信息安全管理體系，需要考慮以下幾個步驟：

　　1. 定義范圍

　　2. 定義方針

　　3. 確定風(fēng)險(xiǎn)評估的方法

　　4. 識別風(fēng)險(xiǎn)

　　5. 評估風(fēng)險(xiǎn)

　　6. 識別并評估風(fēng)險(xiǎn)處理的措施

　　7. 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施

　　8. 準(zhǔn)備適用性聲明

　　而構(gòu)建一個成功的信息安全管理體系的關(guān)鍵成功因素在于：

　　1. 較高**層對管理體系的承諾；

　　2. 體系與整個組織文化的一致性，與業(yè)務(wù)營運(yùn)目標(biāo)的一致性；

　　3. 理清職責(zé)權(quán)限；

　　4. 有效的宣傳、培訓(xùn)，提升意識，不僅要針對內(nèi)部員工，也要針對合作伙伴、供應(yīng)商、外包服務(wù)商等。

　　5. 盤清信息資產(chǎn)、明確信息安全的要求，明晰風(fēng)險(xiǎn)評估和處理的方法和流程；

　　6. 均衡的測量監(jiān)控體系，持續(xù)監(jiān)控各種變化，從監(jiān)控結(jié)果中尋求持續(xù)改進(jìn)的機(jī)會。

　　信息安全管理體系當(dāng)前的發(fā)展：

　　BS7799-2可以提供認(rèn)證服務(wù)，該標(biāo)準(zhǔn)是當(dāng)**可以提供對組織的信息安全管理體系的認(rèn)證標(biāo)準(zhǔn)。在實(shí)施了一套信息安全管理體系之后，可以籍由第三方獨(dú)立認(rèn)證，向社會、向公眾、向客戶證實(shí)所實(shí)施體系的有效性和效果，提供信心**。

　　當(dāng)前**已經(jīng)頒發(fā)了**過1000張證書，并且這個數(shù)字正在不斷增長中，證書主要集中在日本、英國、印度、閩臺。證書的分布主要在**、金融、通信、電子、物流等行業(yè)。我國已經(jīng)頒發(fā)證書10張，當(dāng)前正處于一個蓄勢待發(fā)的階段。

　　BS7799標(biāo)準(zhǔn)已經(jīng)被很多國家和地區(qū)采納為國家標(biāo)準(zhǔn)或地區(qū)標(biāo)準(zhǔn)，如日本、閩臺等地。我國在這方面的工作也在進(jìn)展中。


如您想較詳細(xì)的了解更多認(rèn)證資訊，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。


廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司專注于服務(wù)認(rèn)證,IT信息管理認(rèn)證 ,三體系認(rèn)證等

• 詞條

  詞條說明

• ISO27001認(rèn)證的主要步驟ISO27001認(rèn)證的主要步驟

  1、ISO27001認(rèn)證策劃與準(zhǔn)備、策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓(xùn)、擬定計(jì)劃、安全管理發(fā)展情況調(diào)研，以及人力資源的配置與管理。 2、ISO27001認(rèn)證確定信息安全管理體系適用的范圍 信息安全管理體系的范圍就是需要重點(diǎn)進(jìn)行管理的安全領(lǐng)域。組織需要根據(jù)自己的實(shí)際情況，可以在整個組織范圍內(nèi)、也可以在個別部門或領(lǐng)域內(nèi)實(shí)施。在本階段的工作，應(yīng)將組織劃分成不同的

• ISO27001體系的建立和運(yùn)行步驟

  ISO27001體系的建立和運(yùn)行步驟 ISO27001標(biāo)準(zhǔn)要求組織建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述需要保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的渠道、控制目標(biāo)及控制方式和需要的保證程度。 不同的組織在建立與完善信息安全管理體系時，可根據(jù)自身的具體情況，采取不同的步驟和方法。但總的來說，建立信息安全管理體系一般要經(jīng)過以下四個基本步驟： 1.信息安全管理體系的策劃與準(zhǔn)備； 2.信息安全管理體系文件的

• ISO20000-信息服務(wù)管理目標(biāo)及其實(shí)現(xiàn)的策劃

  1、所需活動 信息服務(wù)管理目標(biāo)是根據(jù)業(yè)務(wù)目標(biāo)和服務(wù)管理方針來定義的，以使信息服務(wù)管理體系集中于滿足業(yè)務(wù)需求和服務(wù)需求。 2、說明 這項(xiàng)必要活動的目的是定義和記錄可衡量的目標(biāo)，這些目標(biāo)將為運(yùn)營信息服務(wù)管理體系及其定義的服務(wù)提供重點(diǎn)，以滿足組織的業(yè)務(wù)需求。這些定義的信息服務(wù)管理目標(biāo)可以在與信息服務(wù)管理方針一致的*時間內(nèi)實(shí)現(xiàn)。組織定期審查目標(biāo)，以確保 根據(jù)業(yè)務(wù)需求、服務(wù)或信息服務(wù)管理方針的更改，較新目

• ISO27040認(rèn)證標(biāo)準(zhǔn)的內(nèi)容

  ISO27040的概述和簡介 ISO27040的目的是為存儲系統(tǒng)和生態(tài)系統(tǒng)以及這些系統(tǒng)中的數(shù)據(jù)保護(hù)提供安全指導(dǎo)。它支持ISO27001中*的一般概念 ISO27040**標(biāo)準(zhǔn)適用于組織內(nèi)與信息安全風(fēng)險(xiǎn)管理有關(guān)的管理人員和員工,以及在適當(dāng)情況 下支持此類活動的外部各方。 本**標(biāo)準(zhǔn)的目標(biāo)是: 宣傳風(fēng)險(xiǎn)，幫助組織較好地保護(hù)其數(shù)據(jù)，為設(shè)計(jì)和審核存儲安全控件提供基礎(chǔ)。 ISO27040針對ISO2700