一起了解一下BS17799，OK?

damonshang

小弟接触ISM 时间也不是很多，手头有一些资料，奉献给各位，希望能抛砖引玉......\r\n\r\nBS7799 简介\r\nBS7799 - 国际信息安全稽核规范，全名是 BS7799 Code of Practice for Information Security，由英国标准协会 British Standards Institution 在 1995 年提出、修订，为目前国际上最知名的安全规范，而且已被 ISO (International Organization for Standardization) 接纳成为国际标准。 \r\n\r\nBS7799 内容大致上分成两个部分: \r\n·        The code of practice for information security systems: \r\n设立了产业最佳的管理信息安全准则 \r\n·        Specification for Information Security Management Systems - ISMS」: \r\n详述 IT 安全应用与稽核所应遵循的架构，包含 10 个章节与 10 个控管重点，它可以来设置应用的时程，并以 10 个控管重点来保证目标的达成。 \r\n\r\n\r\nBS7799 包含了所有企业安全政策，从安全政策的拟定、安全责任的归属、风险的评估、到定义与强化安全参数及存取控制、防毒策略。 \r\n\r\n根据 BS7799 标准的风险评估包括了两项系统化的考量： \r\n1.        IT 安全的破坏造成可能的信息保密性、真确性与可用性失效之后果，将会导致对企业的伤害。 \r\n2.        对各种威胁的防范与合理的控管都会影响这些破坏发生的实际可能性。 \r\n\r\n\r\nBS7799 是一套相当复杂的信息安全应用与稽核的标准，但不外乎就是控管（Control）的观念。定义一套完整的政策、程序、实施与组织化的架构，用来提供合理的保障使企业目标得以达成，并避免、侦测或修正无法预期事件所造成的后果。 \r\n\r\nBS7799 的 10 个章节中内容介绍如下： \r\n1.        Security Policy\r\n「安全政策」的目标在于提供管理的方向来保障信息安全。 \r\n2.        Security Organization\r\n「安全组织」的目标包括\r\na.企业内信息安全的管理\r\nb.维持处理组织安全的相关设施与信息资产由一个可靠的第三单位所控管\r\nc.维持当信息处理程序外包（outsourced）给其它组织时的安全 \r\n3.        加上防止侵入程序\r\n妥善配置防御软件，可敏捷地确认攻击模式，然后在警号响起之时，立即抵御黑客。 \r\n4.        Assets Classification and Control\r\n「资产分类与控制」是为了维持对企业资产适当的保护及确保信息资产可得到一个相当程度的保障。 \r\n5.        Personnal Security\r\n「人员安全」为了要降低人为错误、窃取、欺骗、及滥用相关设施的风险，来确保使用者意识到信息安全的威胁；为了确保在正常工作程序中信息的安全与降低安全意外事件的损害并从其中习得相关经验。 \r\n6.        Physical and Environmental Security\r\n「实体与环境安全」主要是为了避免未授权之存取、破坏与影响企业的建筑或信息；避免损失、或对资产的破坏与阻碍企业活动的进行；避免对信息及其处理设施的破坏或窃取。 \r\n7.        Computer and Network Management\r\n「计算机与网络管理」要达成\r\na.确保正确与安全信息处理设备之运作\r\nb.把系统的失误降到最低\r\nc.保护软件和信息的真确性\r\nd.维持信息处理与通讯的正确性与可用性\r\ne.确保信息在网络上的保全与保护支持的基础建设\r\nf.避免对资产的损害与中断企业活动\r\ng.避免信息在组织间传递时的中断、窜改与误用。 \r\n8.        System Access Control\r\n「系统存取控制」要达成\r\na.信息存取控制\r\nb.避免信息系统未授权之存取\r\nc.网络服务的保护\r\nd.避免计算机未授权之存取\r\ne.侦测未授权之活动\r\nf.确保行动运算与电信网络设施的安全。 \r\n9.        Systems Development and Maintenance\r\n「系统开发与维护」要做到\r\na.确保安全被内建在运作的系统中\r\nb.避免使用者资料在应用系统中被中断、窜改与误用\r\nc.保护信息的授权、机密性与真确性\r\nd.确保所有的 IT 项目与相关支持活动都在安全的考量下进行\r\ne.维护应用系统软件与资料的安全 \r\n10.        Business Continuity Planning\r\n「企业持续运作规划」要降低对企业活动的阻碍与防止关键企业活动受到严重故障或灾害的影响。 \r\n11.        Compliance\r\n「遵行」则是要\r\na.避免违反民、刑事法律、规范、或任何安全要求契约上的义务\r\nb.确保系统运作遵循组织的安全政策与标准\r\nc.把系统稽核过程之效能极大化与影响最小化。 \r\n\r\n\r\nBS7799 信息安全应用规范的 10 大 Control 重点： \r\n1.        Information security policy document：信息安全政策文件化 \r\n2.        Allocation of information security responsibilities ：信息安全的责任归属 \r\n3.        Information Security Education & Training：信息安全的教育训练 \r\n4.        Reporting of Security Incidents：安全事件的通报机制 \r\n5.        Virus Controls：病毒的控制 \r\n6.        Business Continuity Planning Process：企业持续规划的程序 \r\n7.        Control of proprietary software copying：软件复制的管制 \r\n8.        Safeguarding of organizational records：组织相关纪录的防护 \r\n9.        Data Protection：数据保护 \r\n10.        Compliance with security policy：信息安全政策的遵循 \r\n\r\n信息安全是一股不可违逆的潮流，对组织或企业来说，必须衡量自身承受安全的风险与成本之平衡，订定出一套符合本身需求的「安全政策」。

memory

※什么是BS 7799？\r\n   英国标准协会（British Standards Institute，BSI）制定的信息安全标准。\r\n  由信息安全方面的最佳惯例组成的一套全面的控制集。\r\n  信息安全管理方面最受推崇的国际标准。\r\n\r\n※BS 7799的历史沿革\r\n   1990年代初 ——  英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。\r\n  1993年9月 —— 颁布《信息安全管理实施细则》，形成BS 7799的基础。\r\n  1995年2月 —— 首次出版BS 7799-1:1995《信息安全管理实施细则》。\r\n  1998年2月 —— 英国公布BS 7799-2:《信息安全管理体系规范》。\r\n  1999年4月 —— BS 7799-1与BS 7799-2修订后重新发布。\r\n  2000年12月 —— 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1，正式成为国际标准，即ISO/IEC 17799-1:2000《信息技术——信息安全管理实施细则》。 \r\n  2002年9月 —— BSI对BS 7799-2进行了改版，可望替代原标准（BS 7799-2:1999）使用，并通过ISO组织认可。\r\n\r\n※BS 7799的发展现状\r\nBS 7799技术委员会是BSI-DISC Committee BDD/2，成员包括：\r\n  金融服务：英国保险协会，渣打会计协会，汇丰银行等\r\n  通信行业：大英电讯公司等\r\n  零售业：Marks and Spencer plc\r\n  国际组织：壳牌，联合利华，毕马威（KPMG）等\r\n  目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西等国采用BS 7799。\r\n  日本、瑞士、卢森堡等国表示了对BS 7799的兴趣和关注。\r\n  我国的台湾、香港地区也在推广该标准。\r\n  全球目前有245家机构通过了BS 7799认证，涉及政府机构、银行、保险公司、电信企业、网络公司和许多跨国公司。（可查询http://www.xisec.com/）\r\n  目前大陆地区通过信息安全管理体系认证的有5家。