信息安全管理标准BS7799-22002介绍及风险评估

《信息安全管理标准BS7799-22002介绍及风险评估》由会员分享，可在线阅读，更多相关《信息安全管理标准BS7799-22002介绍及风险评估（7页珍藏版）》请在装配图网上搜索。

1、信息安全全管理标标准BSS77999-22:20002介介绍及风风险评估估Infformmatiion Seccuriity Mannageemennt SStanndarrd BBS77799-2:220022 ANND RRiskk Asssesssmeent山东科飞飞管理咨咨询公司司 王毅毅刚 吴吴昌伦摘要：介介绍了信信息安全全管理体体系标准准的发展展及20002年年9月55日英国国标准委委员会BBSI正正式发布布的信息息安全管管理标准准BS777999-2:20002，着着重介绍绍了标准准改版的的原因及及其与其其他管理理标准的的相容性性。对于于建立信信息安全全管理体体系的重重点部分分-

2、风风险评估估，也作作了简要要地介绍绍。一、BSS77999信息息安全管管理体系系标准的的发展随着在世世界范围围内，信信息化水水平的不不断发展展，信息息安全逐逐渐成为为人们关关注的焦焦点，世世界范围围内的各各个机构构、组织织、个人人都在探探寻如何何保障信信息安全全的问题题。英国国、美国国、挪威威、瑞典典、芬兰兰、澳大大利亚等等国均制制定了有有关信息息安全的的本国标标准，国国际标准准化组织织(ISSO)也也发布了了ISOO177799、ISOO133335、ISOO154408等等与信息息安全相相关的国国际标准准及技术术报告。目前，在信息息安全管管理方面面，英国国标准BBS77799已已经成为为世

3、界上上应用最最广泛与与典型的的信息安安全管理理标准，它是在在BSII/DIISC的的BDDD/2信信息安全全管理委委员会指指导下制制定完成成。BSS77999标准准于19993年年由英国国贸易工工业部立立项，于于19995年英英国首次次出版BBS 777999-1：19995信信息安全全管理实实施细则则，它它提供了了一套综综合的、由信息息安全最最佳惯例例组成的的实施规规则，其其目的是是作为确确定工商商业信息息系统在在大多数数情况所所需控制制范围的的唯一参参考基准准，并且且适用于于大、中中、小组组织。119988年英国国公布标标准的第第二部分分信息息安全管管理体系系规范，它规规定信息息安全管管理

4、体系系要求与与信息安安全控制制要求，它是一一个组织织的全面面或部分分信息安安全管理理体系评评估的基基础，它它可以作作为一个个正式认认证方案案的根据据。BSS77999-11与BSS77999-22经过修修订于119999年重新新予以发发布，119999版考虑虑了信息息处理技技术，尤尤其是在在网络和和通信领领域应用用的近期期发展，同时还还非常强强调了商商务涉及及的信息息安全及及信息安安全的责责任。220000年122月，BBS77799-1：119999信息息安全管管理实施施细则通过了了国际标标准化组组织ISSO的认认可，正正式成为为国际标标准-ISOO/IEEC1777999-1：20000信

5、信息技术术-信息息安全管管理实施施细则。20002年年9月55日，BBS77799-2:220022草案经经过广泛泛的讨论论之后，终于发发布成为为正式标标准，同同时BSS77999-22:19999被被废止。现在，BS777999标准已已得到了了很多国国家的认认可，是是国际上上具有代代表性的的信息安安全管理理体系标标准。目目前除英英国之外外，还有有荷兰、丹麦、澳大利利亚、巴巴西等国国已同意意使用该该标准；日本、瑞士、卢森堡堡等国也也表示对对BS777999标准感感兴趣，我国的的台湾、香港也也在推广广该标准准。许多多国家的的政府机机构、银银行、证证券、保保险公司司、电信信运营商商、网络络公司及及

6、许多跨跨国公司司已采用用了此标标准对自自己的信信息安全全进行系系统的管管理。截截至20002年年9月，全球共共有1442家各各类组织织通过了了BS777999信息安安全管理理体系认认证。二、BSS77999-22:20002简简介20022年9月月5日，BSII发布了了最新版版的BSS77999-22：20002标标准, 新版的的标准结结构如下下：0 引言11范围22 引用用标准33 术语语及定义义4 信信息安全全管理体体系5 管理职职责6 资源管管理7 ISMMS评审审8 改改进可以看出出BS777999-2:20002标准准结构上上的修订订，更加加贴近IISO990011:20000，更好

7、的的采用了了过程的的方法，利用PPDCAA的循环环不断改改进信息息安全管管理体系系，这也也是BSS77999-22:20002与与BS777999-2:19999的一一个重要要的差别别。以下是标标准改版版的动因因:修订BSS77999第二二部分标标准，主主要是为为了： 与其它管管理体系系标准协协调一致致，例如如ISOO90000和IISO1140001； 引入并应应用PDDCA（计划、实施、检查、措施）过程模模式，以以建立、实施组组织的信信息安全全管理体体系，并并持续改改进其有有效性。（图11） BS77799-2:220022信息安安全管理理体系规规范作为为体系认认证的唯唯一参考考标准，其修

8、订订版中有有下列几几个突出出的部分分：1、标准准第4节节到第77 节规规定了基基于PDDCA过过程模式式的信息息安全管管理体系系。这是是对包含含在19999版版第3节节中的过程的扩充充。2、19999版版第4节节中的控控制目标标和控制制方式在在标准附附录A中中表述。附录包包含的控控制目标标与控制制方式来来自ISSO/IIEC1177999：220000。3、标准准附录BB中提供供了修订订版的解解释和使使用指南南。4、标准准附录CC中列出出了BSS77999-22:20002、ISOO90001:220000和ISSO1440011:19996个个章节之之间的对对应关系系。5、修订订过程中中，将

9、适适用性声声明（SSoA）的定义义从主要要内容中中删除，在附录录B（参参考附录录B1.4）中中增加了了适用性性声明的的概念，以及对对控制概概要的理理解。另另外，为为了与其其它管理理体系标标准保持持一致，内容中中还增加加了范范围的的界定，关于标标准要求求的排除除，以及及与标准准符合的的声明。BDDD第3小小组与BBS77799国国际用户户组织（IUGG）为了了包括国国际方面面的要求求特制订订了本修修订版。此次指指定是以以来自不不同国家家的专家家和组织织的文献献为基础础，并由由来自不不同国家家的专家家和组织织评审和和讨论这这些文献献。三、BSS77999-22:20002与与ISOO90001:2

10、20000及ISSO1440011:19996的的对比ISO990011:20000、ISOO140001:19996与BBS77799-2:220022章节间间的对应应关系四、信息息安全管管理体系系建立的的重要环环节-风险评评估组织实施施BS777999的目的的应该是是按照先先进的信信息安全全管理标标准建立立完整的的信息安安全管理理体系（ISMMS）并并实施与与保持，达到动动态的、系统的的、全员员参与、制度化化的、以以预防为为主的信信息安全全管理方方式，用用最低的的成本，达到可可接受的的信息安安全水平平，从根根本上保保证业务务的连续续性。 BS777999-2:20002标准准条款44.2.

11、1策划划过程要要求组织织建立信信息安全全管理体体系应该该（Shhalll）定义义风险评评估的系系统性方方法、识识别风险险、进行行风险评评估、识识别并评评价风险险处理的的方法、为风险险的处理理选择控控制目标标与控制制方式。作为体体系的策策划过程程，风险险评估方方法的科科学性、系统性性以及其其评估结结果的质质量很大大程度上上决定了了ISMMS的成成功建立立，及它它对组织织的价值值。1 风险险评估的的基本概概念与风险评评估有关关的概念念威胁(TThreeat)：是指指可能对对资产或或组织造造成损害害的事故故的潜在在原因。薄弱点(Vullnerrabiilitty)：是指资资产或资资产组中中能被威威胁

12、利用用的弱点点。风险(RRiskk)：特特定的威威胁利用用资产的的一种或或一组薄薄弱点，导致资资产的丢丢失或损损害的潜潜在可能能性，即即特定威威胁事件件发生的的可能性性与后果果的结合合。风险评估估 (RRiskk asssesssmeent)：对信信息和信信息处理理设施的的威胁(thrreatt)、影影响(iimpaact)和薄弱弱点(vvulnneraabillityy)及三三者发生生的可能能性的评评估。与风险管管理有关关的概念念风险管理理 (RRiskk maanaggemeent)：以可可接受的的费用识识别、控控制、降降低或消消除可能能影响信信息系统统的安全全风险的的过程。风险管管理是一

13、一个识别别、控制制、降低低或消除除安全风风险的活活动，通通过风险险评估来来识别风风险大小小，通过过制定信信息安全全方针，采取适适当的控控制目标标与控制制方式对对风险进进行控制制，使风风险被避避免、转转移或降降至一个个可被接接受的水水平。在在风险管管理方面面应考虑虑控制费费用与风风险之间间的平衡衡。安全控制制（Seecurrityy coontrrol）：降低低安全风风险的惯惯例，程程序或机机制。剩余风险险(Reesidduall riisk )：实实施安全全控制后后，剩余余的安全全风险。2风险评评估基本本步骤风险评估估可以明明确安全全需求及及确定切切实可行行的控制制措施,全面系系统的风风险评估

14、估是实施施有效的的风险管管理的基基础,风风险评估估应考虑虑的因素素包括:* 信信息资产产及其价价值；* 对这这些资产产的威胁胁，以及及它们发发生的可可能性；* 薄薄弱点；* 在在适当的的地方由由控制所所提供的的保护；风险评估估的基本本步骤为为：* 按照组组织商务务运作流流程进行行资产识识别，并并根据估估价原则则对资产产进行估估价；* 根据据资产所所处的环环境进行行威胁识识别与评评价；* 对应应每一威威胁，对对资产或或组织存存在的薄薄弱点进进行识别别与评价价；* 对已采采取的安安全控制制进行确确认；* 建立立风险测测量的方方法及风风险等级级评价原原则，确确定风险险的大小小与等级级。3风险评评估与

15、管管理方法法在风险评评估和风风险管理理方法被被应用的的过程中中，评估估时间、力度、以及具具体开展展的深度度应与组组织的环环境和安安全要求求相称。例如，如果组组织和它它的资产产大多数数只需要要一个低低等到中中等的安安全要求求，基本本的风险险评估方方法就足足够了。如果安安全要求求更高，要求更更具体的的和专业业的处理理，那么么就必须须用一个个具体的的风险评评估方法法。3.1基基本的风风险评估估基本的风风险评估估是指应应用直接接和简易易的方法法达到基基本的安安全水平平，就能能满足组组织及其其商业环环境的所所有要求求。这种种方法适适用于商商业运作作不是非非常复杂杂的组织织，并且且组织对对信息处处理和网网

16、络的依依赖程度度不高。这个方法法包括对对组织所所考虑的的信息和和财产安安全要求求的一个个系统的的评估，识别那那些令人人满意的的控制目目标和满满足这些些目标的的一系列列控制的的选择。基本风险险评估方方法有许许多优点点，例如如： * 风险险评估所所需资源源最少，简便易易实施。* 同同样或类类似的控控制能被被许多信信息安全全管理体体系所采采用，不不需要耗耗费很大大的精力力。如果果一个组组织的多多个信息息安全管管理体系系在相同同的环境境里运作作，并且且商业要要求类似似，这些些控制可可以提供供一个花花费有效效的解决决方案。这个方法法的缺点点：* 如果安安全水平平被设置置的太高高，就可可能需要要过多的的费

17、用或或控制过过度；如如果水平平太低，对一些些组织来来讲，可可能不会会得到充充分的安安全；* 管理理安全相相关的改改变可能能有困难难。例如如，如果果一个信信息安全全管理体体系被升升级，评评估最初初的控制制是否仍仍然充分分就有一一定困难难。3.2具具体的风风险评估估这个方法法包括资资产的具具体识别别和估价价，以及及那些对对资产的的威胁和和相关弱弱点水平平的评估估，上述述结果被被用于评评估风险险并随后后被用于于安全控控制的识识别和选选择。 通过识识别资产产的风险险并将风风险降低低到可接接受水平平，来证证明管理理者所采采用的安安全控制制是适当当的。具体的风风险评估估可能是是非常耗耗费财力力的彻底底的过

18、程程，因此此需要非非常细致致地制定定被评估估的信息息系统范范围内的的商务环环境、运运作、信信息和资资产的边边界。它它也是一一个需要要管理者者持续关关注的方方法。这一方法法是将安安全风险险作为资资产、威威胁及薄薄弱点的的函数来来进行识识别与评评估。根根据被评评估的风风险，能能够从有有关安全全管理标标准中选选择安全全控制。整个方方法不同同于上面面的基本本风险评评估方法法, 因因为需要要对资产产、威胁胁和薄弱弱点进行行更为具具体的分分析，且且包括使使用：对对资产（说明它它们的价价值，商商业重要要性）、威胁（说明它它们的严严重性）和薄弱弱点（说说明有关关它们的的弱点和和敏感性性的程度度或测量量）进行行

19、测量与与赋值；使用风风险评估估定义的的风险测测量方法法完成风风险测量量。具体风险险评估的的优点：一是获获得一个个更精确确的安全全风险的的认识，从而更更为精确确地识别别反映组组织安全全要求的的安全水水平；另另一方面面，可以以从具体体的风险险评估中中获得的的额外信信息使与与组织更更改相关关的安全全管理受受益。这这个方法法的缺点点是：它它要花费费相当的的时间、精力和和技术去去获得可可行的结结果。 3.3联联合评估估方法此方法首首先使用用基本的的风险评评估方法法识别信信息安全全管理体体系范围围内具有有潜在的的高风险险或对商商业运作作来说极极为关键键的资产产。根据据基本的的风险评评估的结结果，将将信息安

20、安全管理理体系范范围内的的资产分分成两类类，一类类需要应应用一个个具体的的风险评评估方法法以达到到适当保保护，另另一类通通过基本本的评估估方法选选择的控控制就足足矣。这这个方法法将基本本和具体体风险评评估方法法优点结结合起来来，即节节省评估估所花费费的时间间与精力力，又能能确保获获得一个个全面系系统的评评估结果果，而且且，组织织的资源源与资金金能够被被应用在在最能发发挥作用用的地方方，具有有高风险险的信息息系统能能够被预预先关注注。这个个方法的的缺点：如果在在高风险险内的信信息系统统的识别别不正确确，那么么它可能能导致错错误的结结果。4 风险险评估/管理方方法的选选择需要要考虑的的因素组织可采

21、采取不同同的风险险评估和和风险管管理方法法，一个个方法是是否适合合于特定定组织有有很多影影响因素素，包括括：* 商务环环境；* 商务务性质和和重要性性；* 对支持持组织商商务的信信息系统统的技术术性和非非技术性性的依赖赖；* 商务及及其支持持系统、应用软软件和服服务的复复杂性；* 商商业伙伴伴和外部部业务以以及合同同关系的的数量。作为一个个通用的的经验规规则，信信息安全全对组织织及其商商务越重重要，一一旦遭受受威胁损损害，损损失就越越多；这这就需要要对安全全投入更更多的时时间和资资源。本文仅仅仅向读者者介绍了了BS777999-2:20002标准准的框架架及建立立信息安安全管理理体系的的重点-风险险评估的的基本知知识，由由于新版版标准刚刚刚发布布，笔者者对于标标准的理理解还有有待加深深，也希希望各位位读者对对于本文文的不当当之处给给予批评评指正。E-maail:sdm