一、信息及信息安全
信息象其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。
信息可以以多种形式存在。它可以是打印或写在纸上(如:书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手段传输;显示在胶片上;表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮,因为它有价值,应该得到妥善的保护。
信息安全的维持可表征为:
A、机密性:确保信息仅可让授权获取的人士访问;
B、完整性:保护信息和处理方法的准确和完善;
C、可用性:确保授权人需要时可以获取信息和相应的资产。
信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
二、信息安全的重要性
信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。
目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。
有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
至于应采取哪些控制方式则需要周密计划,并注意控制细节。信息安全管理需要组织中的所有雇员的参与,比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密,除物理控制外,还需要组织全体人员参与,加强控制。此外还需要供应商,顾客或股东的参与,需要组织以外的专家建议。
三、信息安全管理体系标准
1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。由于该标准采用建议和指导方式编写,因而不宜作为认证标准使用。
1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准-- BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。
1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1:1999和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998。新修订的1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。
BS7799-1:1999和BS7799-2:1999是一对配套标准,BS7799-1:1999为如何建立和实施符合BS7799-2:1999标准要求的信息安全管理体系提供了最佳的应用建议。
令人鼓舞的是,2000年12月,BS7799-1:1999已经被ISO/IEC正式采纳成为国际标准 -- ISO/IEC 17799:2000《信息技术 — 信息安全管理实施规则》,另外,BS7799-2:1999也即将于2002年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系规范》。
四、建立信息安全管理体系(ISMS)对任何组织都具有重要意义
任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:
1. 缺少信息安全管理论坛,安全导向不明确,管理支持不明显;
2. 缺少跨部门的信息安全协调机制;
3. 保护特定资产以及完成特定安全过程的职责还不明确;
4. 雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;
5. 组织信息系统管理制度不够健全;
6. 组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;
7. 组织信息系统备份设备仍有欠缺;
8. 组织信息系统安全防范技术投入欠缺;
9. 软件知识产权保护欠缺;
10. 计算机房、办公场所等物理防范措施欠缺;
11. 档案、记录等缺少可靠贮存场所;
12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划;
…….等等
通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明,任何组织都急需建立信息安全管理体系,以保障其技术和商业机密,保障信息的完整性和可用性,最终保持其生产、经营活动的连续性。
五、信息安全管理体系建立和运行步骤
BS7799-2:1999标准要求组织建立并保持一个文件化的信息安全管理体系,其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。
信息安全管理体系建立和运行步骤:
1、 制定信息安全方针;
2、 明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来确定界限;
3、 实施适宜的风险评估,识别资产所受到的威胁、薄弱环节和对组织的影响,并确定风险程度;
4、 根据组织的信息安全方针和需要的保证程度来确定应实施管理的风险;
5、 从BS7799-2的第四部分“控制细则”中选择适宜的控制目标和控制方式(从36个目标,127种控制方式中选择);控制目标和控制方式的选择可以参考BS7799-1:1999《 信息安全管理体系实施细则》标准,如果标准中没有的控制目标和控制方式,组织可以也应选择一些其它适宜的控制方式。
6、 制定可用性声明,将控制目标和控制方式的选择和选择理由文件化,并注明未选择BS7799-2 :1999第四部分中的任何内容及其理由;
7、 有效地实施选定的控制目标和控制方式;
8、 进行内部审核和管理评审,保证体系的有效实施和持续适宜。
六、中国质量认证中心BS7799-2:1999推行工作简介
中国质量认证中心是目前国内唯一具有BS7799-2:1999建立与认证经历的机构,早在1999年末,CQC厦门评审中心就组织审核员和专业人员翻译了BS7799系列标准,并开展了国内最早的培训,2000初动员厦门人保推行BS7799-2:1999,并于2000年8月-10月对该企业实施了认证审核。
2001年,中心又指派了一名经验丰富的高级工程师/主任审核员对BS7799-2信息安全管理体系(ISMS)的建立进行了深入的研究,全程参与广东某公司的信息安全管理体系的建立和认证工作,为开展组织的信息安全体系积累丰富的经验。