对一个企业或机构来说,信息和其它商业资产一样有价值。信息安全就是保护信息免受来自各 方面的威胁,是一个企业或机构持续经营策略和管理的重要环节。信息安全管理体制的建立和健全,目的就是降低信息风险对经营的危害,并将其投资和商业利益最大化。
从对信息安全的认识来说,一方面,新闻媒体上不断披露的安全漏洞、频繁的病毒和黑客的攻击、日益增多的网络犯罪让人们不断地提高安全意;另一方面,人们也已经越来越深刻地认识到,信息安全不只是个技术问题,而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其它手段,如规范安全标准和进行信息安全管理,这一观点会被越来越多的人们所接受。单纯的技术不能提供信息全面的安全保护,仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。
在全社会普遍关注信息安全的情况下,各个企业或机构又都面临遵循保密标准与安全法规的要求,越来越多的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。同时,有关信息安全标准、法律和法规的数量正在迅速增加,许多机构都面临遵守各种安全标准和法规的要求。随着越来越多的标准、法律和法规的出台,统一安全标准的需求自然成为一个很现实的问题。
信息安全管理国际标准的发展过程
1992年,世界经济合作与发展组织(oecd)发表了《信息系统安全指南》,旨在帮助成员和非成员的政府和企业组织增强信息系统的风险意识,提供一般性的安全知识框架。美国、oecd的其他23个成员,以及十几个非oecd成员都批准了这一指南。
该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作。促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育/宣传活动。该指南的最终目的是作为政府、公众和私有部门的信息安全管理的基准,相关机构能通过此基准来衡量本身在信息安全管理方面的进展。
国际会计师联合会于1998年也发表了一个有关《信息安全管理》的文件,认为信息系统安全的目标有三个:可用性,即确保信息系统在需要的时候可用;保密性,即对数据信息的访问控制设计完备的策略;完整性,即保证数据信息不受未经授权的修改。
1993年1月,英国标准协会(british?standards?institution,简称bsi)成立了信息安全的行业工作小组。1993年9月,信息安全管理体系实施要则出版。1995年2月,英国标准协会制定的信息安全管理体系标准bs7799-1?出版。1998年2月,bs7799-2?出版。bs7799对信息安全的控制范围、安全准则、安全管理等要素做出了规范性的表述。2002年9月:bs7799-2:?2002出版。
iso (国际标准化组织)和 iec (国际电工委员会) 是世界范围的标准化组织。各国的相关标准化组织都是其成员,并通过各种技术委员会参与相关标准的制定。其他国际组织,政府机构及非政府机构也协同工作。国际标准的草案,需能得到所有会员75%以上的赞成票,该标准才可被公布为国际标准。在信息技术领域,iso和iec成立了一个联合技术委员会iso/iec jtc 1。该委员会以英国标准协会制定的信息安全标准bs7799为蓝本,并对bs 7799-1 做了23处修改后,制定了信息安全的国际标准iso/iec 17799草案。该草案在联合技术委员会iso/iec jtc 1的安排下,通过一个特殊的"快速通道"(fast-track procedure),并行地得到了iso和iec成员国的批准。2000年12月,国际标准 iso/iec17799出版。iso/iec 17799第二部分2000年9月公布。同年,iso/iec17799工具箱出版。
iso/iec 17799的体系介绍
iso/iec 17799是由国际标准化组织(iso)颁布的一套全面和复杂的信息安全管理标准,旨在帮助各种类型和规模的组织实施并运行有效的信息安全管理体系,从而增强企业识别、防止、减少和控制组织信息安全风险的能力。
iso/iec 17799标准是由两部分构成的。第一部分是信息安全管理体系的实施指南,相当于bs7799-1;第二部分是信息安全管理体系规范,相当于bs7799-2。 iso/iec 17799标准的内容涉及10个领域,36个管理目标和127个控制措施。10个领域分别为:
*?信息安全政策:信息安全政策为信息安全提供管理方向和指南。同时管理层应制定一套清晰的指导原则,并以此明确表明其对信息安全及在单位内部贯彻实施信息安全政策的支持和承诺。
*?安全组织:应建立适当的信息安全管理部门对信息安全政策进行审批,对安全权责进行分配,并协调单位内部安全的实施。如有必要,在单位内部设立特别信息安全顾问并指定相应人选。同时,要设立外部安全顾问,以便跟踪行业走向,监视安全标准和评估手段,并在发生安全事故时建立恰当的联络渠道。在此方面,应鼓励跨学科的信息安全安排,比如,在经理人、用户、程序管理员、应用软件设计师、审计人员和保安人员间开展合作和协调。同时对第三方接触本单位的信息处理设备要进行管制。
*?资产分类与管理:所有重大的信息资产都要有记录和主管人员。对资产的负责制度将确保对其进行有效的保护。指定的主管人员要有在此方面的主要职责和管理办法。实施管理的任务可委托给他人,但最后的责任要由资产的主管人员承担,以确保信息资产得到分类和适当水平的保护。
*?个人信息安全守则:个人信息安全的权责应当在对员工聘用的阶段就开始实施,还应包括在合同中,并在以后员工的聘用期内时时进行监督。对潜在的待聘员工应加以仔细充分的筛选,特别是从事敏感工作的员工。所有使用信息处理设备的员工或第三方都要签署保密或不泄密协议和岗位职责中的安全责任,以减少人为风险。
*?设备及使用环境的信息安全管理:保护信息系统基础设施、设备、媒体免受非法的访问、或自然灾害和环境危害。其目的是保护企业所在地及信息免于未经授权的存取、破坏及入侵。关键或敏感的商业信息处理设备应放置在安全的区域,由安全防御带、适当的安全屏障和准入管制手段加以保护,以防它们物理上被非法进入、毁坏或干扰。提供的保护措施应当和风险相一致。
*?沟通和操作管理:要建立所有信息处理设备的管理和操作的权责及流程。这包括开发适当的操作指导和事故反应流程。在适当的情况下,要对权责进行划分,以降低渎职或故意滥用系统的风险。确保信息处理设备安全的操作,降低系统失效的风险。保护软件和信息的完整性,维护信息处理和通讯的完整性和可用性,建立确保网络信息的安全措施和整个it基础结构的保护。
*?系统访问控制:通过对各种访问的权限和能力进行有效的限制,确保系统和信息的安全。这包括对信息使用的授权规定,用户管理,用户的职责,网络访问管理,操作系统和应用系统的访问管理,敏感系统的隔离,对用户访问的监控,移动用户访问的监控等。
*?系统开发和维护:系统的范围包括基础设施,业务系统和自开发的程序。定义支持业务的操作流程对安全而言是至关重要的。信息安全在系统设计之前,就必须加以足够的考虑。信息安全的需求,在有关系统项目的确定需求阶段,就必须作为项目需求的一部分,写入项目需求的文件中。
*?业务持续经营计划:业务持续经营计划的制定和实施,是防止商业活动的中断和防止关键商业过程免受重大失误或灾难的影响。业务持续经营计划的定期演练,是业务持续经营计划重要的实施环节。
*?合规性:信息系统的设计,操作和使用,均须符合法规(刑法、民法、知识产权或版权)。需注意的是,各国的相关法规不尽相同,当信息从一个国家传输到另一个国家时,尤其要注意这一点。还需顾及个人信息的私密性和符合信息安全政策。定期的系统内审亦是需要的。
信息安全管理体系的实施
iso/iec17799的另一重要方面是信息安全管理体系的实施。在实施信息安全管理体系的时候,主要是通过评估安全风险、设定安全要求和选择控制手段,达到其信息安全的管理目标。因此,在实施信息安全管理体系的时候,要注重以下三个方面:
*?评估信息安全风险:信息安全风险评估要求考虑信息安全失误所造成的经营性破坏,要求考虑失去信息保密性、完整性和可用性和其它信息资产时所导致的潜在后果。还需评估现行威胁和弱点导致信息安全失误的可能性,及目前实施的控制手段。在管理信息安全风险和实施控制手段防范风险时,上述信息安全风险的评估结果有助于指导和决定采取适当的管理行动及其优先程度。在一般情况下,评估信息安全风险和选择管制手段的过程可能需要重复几次。
*?设定对信息安全的要求:确认信息安全方面的要求至关重要,通过对本单位的信息安全风险评估,可以确认本单位的信息资产所面临的威胁。设定对信息安全的要求,要考虑控制的弱点和危险发生的可能性,并对其潜在的影响加以估计。要考虑合作伙伴、签约方和服务提供商必须满足的法律、法规、规章或契约方面的要求。还要考虑为支持运营而发展出一套针对信息处理的原则、目标和要求。同时还需要对信息安全控制方面的支出需要和安全失控时产生的危害进行平衡和比较,以设定合理的对信息安全的要求。
*?选择管制手段:安全要求一旦确定之后,就应选择并实施控制手段以确保风险被降到一个可接受的水平。从立法角度审视,在选择管制手段时要考虑:知识产权、保护公司机密、数据保护和个人信息的私密性。对信息安全来说,被认为是最佳实施手段的管制手段包括:信息安全政策文件、信息安全权责的分配、信息安全教育和培训、安全事故的汇报和持续运营管理。
管理风险有许多不同的办法,然而,需要认识的是有些控制手段并不是适用所有信息系统或环境,也不一定适合所有的单位或组织。比如,对权责进行分类以防止诈骗或失误的控制手段,对许多小的单位或组织来说,就不一定适合,而另外的办法可能更好一些。控制的选择应当基于相对风险而言的执行控制时的成本,也应当考虑其它非财务方面的因素,如对单位或组织名誉的损坏等等。