第1页 / 共55页
第2页 / 共55页
第3页 / 共55页
第4页 / 共55页
第5页 / 共55页
第6页 / 共55页
第7页 / 共55页
第8页 / 共55页
BS7799 标准全面解析(新版).pdf
Information Security Management Guidance
ISMG-005-2006
BS7799 标准全面解析(新版)
Overall Explanation for BS7799 new version
张耀疆
CISSP,BS7799LA,CISA
上海安言信息技术有限公司
邮箱:yaojiang@aryasec.com
网址:www.aryasec.com
MSN:zhangyaojiang@hotmail.com
V1.0 © 2006 Aryasec Ltd. All rights reserved.
本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海安言信息
技术有限公司所有,受到有关产权及版权法保护。任何个人、机构未经上海安言信息技术有限公司的书面授权许可,不
得以任何方式复制或引用本文件的任何片断。
信息安全管理系列指导文件(ISMG)
内容摘要
整个 2005 年,信息安全业界发生很多新气象,特别引人瞩目的就是 BS7799 标准的改版
和国际化。BS7799 是英国标准协会(British Standards Institute,BSI)最早发布的一个关于
信息安全管理的标准,其两个组成部分目前已分别成为 ISO17799 和 ISO27001 标准,以
ISO27001 标准为认证目标的信息安全管理体系实施活动正在国际和国内盛行起来。本文在
ISMG-005 最初版本的基础上,聚焦于 ISO17799:2005 和 ISO27001:2005 新标准,以问答的
形式,概述其来龙去脉、价值所在、框架内容、认证要求,以及围绕此标准开展信息安全管
理体系建设与审核活动的相关事项,目的在于为读者提供一份直接了解 BS7799 并加强信息
安全管理实践的指南和参考文件。
在行文过程中,作者参考了大量文献资料,并将长期积累的实践经验融合进来,最终成
此专题。由于目前可见于公众的此方面专题资料并不是很多,加上真正以 BS7799 为指导的
信息安全管理活动商未被普遍认知,所以本文内容难免有偏颇之处,作者个人经验显见其中,
读者请自行揣摩,决定取舍。另外,虽然目前 BS7799 已有了新的名称,但鉴于思维惯性,
所以本文还是以 BS7799 名称泛指,具体条文阐述,则以 ISO17799 或 ISO27001 论之。
若有建议和意见,欢迎直接致函作者,交朋纳友乃作者平生之好。
关于 ISMG
本文作为“信息安全管理指导文件(Information Security Management Guidance,ISMG”
系列之一而提供。ISMG 系列文件是安言咨询围绕信息安全管理这一实践主题而编写的一系
列指导性文件,目的在于为信息安全管理实践者提供有效的建议和帮助。ISMG 系列文件的
主题主要涉及信息安全风险管理、信息安全体系建设、信息安全服务过程、信息安全策略编
写、业务连续性管理、BS7799 标准实施等。
欢迎有志于 ISMG 文件编写的专业人士与我们联系,加入到我们这个队伍中来,共同为
国内信息安全事业的整体发展尽心尽力。
关于安言咨询
上海安言信息技术有限公司(简称安言咨询),是一家从事信息安全管理咨询的专业化
机构。公司致力于兼收并蓄国际上最先进的信息安全和 IT 服务管理理念,结合国内行业特
点,以独立咨询客观立场,为客户提供量身定做并且符合国际标准要求的信息安全解决方案。
安言咨询凭借多年经营积累起来的信息安全培训体系和咨询服务体系,以充足而完备的
内容和资源,将 BS7799、BS15000、ISO13335、SSE-CMM、ITIL、CoBit 等最佳实践的精
1
ISMG-005-2006 BS7799 标准全面解析(新版)
髓恰当地移植给企业客户,充分发掘企业真正的需求,提升企业信息安全整体意识,增强相
关人员的技术技能,巩固和完善企业信息安全管理体系,开拓 IT 服务管理的眼界和思维,
建立稳妥的业务持续性计划,使信息安全和 IT 服务真正成为企业整体发展的助动之力。
安言咨询是一个由精英人才凝聚而成的团队,拥有多年电信、金融、制造、政府等行业
背景,持有包括 CISSP、CISA、BS7799LA、ITIL、CCIE 等在内的众多信息管理或技术领
域顶级资质。与此同时,公司还与包括 BSI、DNV、(ISC)2、ISACA、上海交通大学、上
海信息中心等国内外著名机构保持着紧密的合作关系。
相信借助我们长期积累的经验和先进的理念,加上不懈而严谨的努力,定能为客户开启
信息安全管理和 IT 服务管理的胜利之门。
公司网址:www.aryasec.com
关于作者
本文作者张耀疆(CISSP、CISA、BS7799LA、ITIL Foundation、CCNA、MCSE、MCSD),
信息安全专业硕士,在 IT 及信息安全领域从业多年,先后在西安、深圳、上海等地多家公
司从事过软件开发、系统集成、咨询评估、专业培训等项工作,积累了丰富的专业经验,这
些经验先后汇集成《聚焦黑客-攻击手段与防护策略》、《CISSP 认证考试指南》等多部著译
作。作者目前就任上海安言信息技术有限公司 CTO,负责信息安全咨询服务和专业培训相
关工作。
作者联系方式:
QQ:
Email: yaojiang@aryasec.com
Mobile: 13816683689
MSN:
zhangyaojiang@hotmail.com
3304964
2
信息安全管理系列指导文件(ISMG)
版本信息
文档名称
文档管理编号
保密级别
制作人
复审人
分发范围
分发批准人
BS7799 标准全面解析(新版)
ISMG-005-2006
文档版本号
1.0
2006 年 1 月 24 日(V1.0)
张耀疆
制作日期
复审日期
共享
3
ISMG-005-2006 BS7799 标准全面解析(新版)
目录
1. 概述篇.................................................................................................................................................6
1.1 什么是信息?----------------------------------------------------------------------------------------------- 6
1.2 什么是信息安全?----------------------------------------------------------------------------------------- 6
1.3 信息安全发展过程是怎样的? -------------------------------------------------------------------------- 6
1.4 信息安全有哪些基本目标? ----------------------------------------------------------------------------- 7
1.5 什么是信息安全的根本目标? -------------------------------------------------------------------------- 8
1.6 信息安全需求来自哪里? -------------------------------------------------------------------------------- 8
1.7 如何做好信息安全整体规划? -------------------------------------------------------------------------- 9
1.8 怎样实现信息安全? -------------------------------------------------------------------------------------10
1.9 为什么要一再强调信息安全管理? -------------------------------------------------------------------11
1.10 信息安全管理应该遵循何种模式?------------------------------------------------------------------12
2. 标准篇...............................................................................................................................................13
2.1 什么是 BS7799? -----------------------------------------------------------------------------------------13
2.2 BS7799 的发展历程是怎样的? ------------------------------------------------------------------------13
2.3 BS7799 的现状如何? ------------------------------------------------------------------------------------14
2.4 BS7799 将来还会有什么发展和变化? ---------------------------------------------------------------15
2.5 什么是 ISMS 国际用户组织?--------------------------------------------------------------------------15
2.6 还有哪些与 BS7799 类似或相关的标准或规范? --------------------------------------------------16
2.6.1 PD 3000 ................................................................................................................................16
2.6.2 CC .........................................................................................................................................17
2.6.3 ISO/IEC TR 13335 ................................................................................................................18
2.6.4 AS/NZS 4360 .........................................................................................................................19
2.6.5 ISO/TR 13569........................................................................................................................20
2.6.6 SSE-CMM..............................................................................................................................20
2.6.7 NIST SP 800 系列.................................................................................................................21
2.6.8 ITIL........................................................................................................................................21
2.6.9 CobiT.....................................................................................................................................22
2.7 BS7799 新版本(2005)与老版本有什么异同? ---------------------------------------------------22
2.8 ISO17799:2005 主要内容是怎样的?------------------------------------------------------------------24
2.9 ISO27001:2005 主要内容是怎样的?------------------------------------------------------------------29
3. 认证篇...............................................................................................................................................33
3.1 什么是 ISO27001 认证? --------------------------------------------------------------------------------33
3.2 为什么要接受 ISO27001 认证? -----------------------------------------------------------------------33
3.3 ISO27001 认证适合哪些对象?-------------------------------------------------------------------------34
3.4 目前 ISO27001 认证的发展状况如何? --------------------------------------------------------------35
3.5 可提供 ISO27001 认证的机构有哪些? --------------------------------------------------------------37
3.6 什么是认可机制?----------------------------------------------------------------------------------------38
4
信息安全管理系列指导文件(ISMG)
3.7 ISO27001 认证体系中对审核员有什么要求?-------------------------------------------------------39
3.8 ISO27001 认证的实施过程是怎样的?----------------------------------------------------------------39
3.9 ISO27001 认证审核费用和周期如何?----------------------------------------------------------------40
3.10 为什么应该聘请顾问公司来协助认证?------------------------------------------------------------40
3.11 怎样选择顾问公司?------------------------------------------------------------------------------------41
4. 实践篇...............................................................................................................................................44
4.1 什么是信息安全管理体系? ----------------------------------------------------------------------------44
4.2 怎样建设 ISMS 并最终寻求认证?--------------------------------------------------------------------44
4.3 怎样组建项目实施队伍? -------------------------------------------------------------------------------46
4.4 怎样确定 ISMS 实施范围?-----------------------------------------------------------------------------47
4.5 如何进行风险评估? -------------------------------------------------------------------------------------48
4.6 风险评估有什么工具可以利用? ----------------------------------------------------------------------50
4.7 如何确定风险处理计划? -------------------------------------------------------------------------------50
4.8 应该怎样去构建 ISMS 文件体系?--------------------------------------------------------------------51
4.9 如何设立信息安全管理组织? -------------------------------------------------------------------------52
4.10 怎样加强人员安全意识并推动体系实施?---------------------------------------------------------53
4.11 如何对 ISMS 进行内部审核? ------------------------------------------------------------------------54
4.12 建设 ISMS 得以成功的关键因素有哪些? ---------------------------------------------------------54
5
ISMG-005-2006 BS7799 标准全面解析(新版)
1. 概述篇
1.1 什么是信息?
ISO/IEC 的 IT 安全管理指南(GMITS,即 ISO/IEC TR 13335)对信息(Information)
的解释是:信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。
一般意义上的信息概念是指事物运动的状态和方式,是事物的一种属性,在引入必要的
约束条件后可以形成特定的概念体系。通常情况下,我们可以把信息可以理解为消息、信号、
数据、情报和知识。信息本身是无形的,借助于信息媒体以多种形式存在或传播,它可以存
储在计算机、磁带、纸张等介质中,也可以记忆在人的大脑里,还可以通过网络、打印机、
传真机等方式进行传播。
对现代企业来说,信息是一种资产,包括计算机和网络中的数据,还包括专利、标准、
商业机密、文件、图纸、管理规章、关键人员等,就象其它重要的商业资产那样,信息
资产具有重要的价值,因而需要进行妥善保护。
需要注 意的 是,从 安全 保护的 角度 去考察 信息 资产, 并不 能只停 留在 静态 的 一
个点或 者一 个层面 上。 信息是 有生 命周期 的, 从其创 建或 诞生, 到被 使用或 操作 ,
到存储 ,再 到被传 递, 直至其 生命 期结束 而被 销毁或 丢弃 ,各个 环节 各个阶 段都 应
该被考虑到,安全保护应该兼顾信息存在的各种状态,不能够有所遗漏。
1.2 什么是信息安全?
信息安全是一个广泛而抽象的概念,不同领域不同方面对其概念的阐述都会有所不同。
建立在网络基础之上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件、
软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能
够连续、可靠、正常地运行。在商业和经济领域,信息安全主要强调的是消减并控制风险,
保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度。
信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层
次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发
展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家,
保持关键的信息资产的安全性都是非常重要的。信息安全的任务,就是要采取措施(技术手
段及有效管理)让这些信息资产免遭威胁,或者将威胁带来的后果降到最低程度,以此维护
组织的正常运作。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方
面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
1.3 信息安全发展过程是怎样的?
信息安全自古以来就是受到人们关注的问题,但在不同的发展时期,信息安全的侧重点
和控制方式是有所不同的。
大致说来,信息安全在其发展过程中经历了三个阶段。
早在 20 世纪初期,通信技术还不发达,面对电话、电报、传真等信息交换过程中存在
6
信息安全管理系列指导文件(ISMG)
的安全问题,人们强调的主要是信息的保密性,对安全理论和技术的研究也只侧重于密码学,
这一阶段的信息安全可以简单称为通信安全,即 COMSEC(Communication Security)。
20 世纪 60 年代后,半导体和集成电路技术的飞速发展推动了计算机软硬件的发展,计
算机和网络技术的应用进入了实用化和规模化阶段,人们对安全的关注已经逐渐扩展为以保
密性、完整性和可用性为目标的信息安全阶段,即 INFOSEC(Information Security),具有
代表性的成果就是美国的 TCSEC 和欧洲的 ITSEC 测评标准。
20 世纪 80 年代开始,由于互联网技术的飞速发展,信息无论是对内还是对外都得到极
大开放,由此产生的信息安全问题跨越了时间和空间,信息安全的焦点已经不仅仅是传统的
保密性、完整性和可用性三个原则了,由此衍生出了诸如可控性、抗抵赖性、真实性等其他
的原则和目标,信息安全也从单一的被动防护向全面而动态的防护、检测、响应、恢复等整
体体系建设方向发展,即所谓的信息保障(Information Assurance),这一点,在美国的 IATF
规范中有清楚的表述。
1.4 信息安全有哪些基本目标?
信息安全通常强调所谓 CIA 三元组的目标,即保密性、完整性和可用性(如图 1 所示)。
CIA 概念的阐述源自信息技术安全评估标准(InformationTechnology Security Evaluation
Criteria,ITSEC),它也是信息安全的基本要素和安全建设所应遵循的基本原则。
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程中不会泄漏给
非授权用户或实体。
完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会被非授权用户
篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外
部表示的一致性。
可用性(Availability)—— 确保授权用户或实体对信息及资源的正常使用不会被
异常拒绝,允许其可靠而及时地访问信息及资源。
图 1. 信息安全 CIA 三元组
当然,不同机构和组织,因为需求不同,对 CIA 原则的侧重也会不同,如果组织最关
心的是对私秘信息的保护,就会特别强调保密性原则,如果组织最关心的是随时随地向客户
提供正确的信息,那就会突出完整性和可用性的要求。
除了 CIA,信息安全还有一些其他原则,包括可追溯性(Accountability)、抗抵赖性
(Non-repudiation)、真实性(Authenticity)、可控性(Controllable)等,这些都是对 CIA 原
则的细化、补充或加强。
7
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
