【正文】 。 該論壇可以作為目前管理機(jī)構(gòu)的一個(gè)組成部分 。 應(yīng)該建立一個(gè)管理論壇，確保對(duì)安全措施有一個(gè)明確的方向并得到管理層的實(shí)際支持。應(yīng)該鼓勵(lì)采用跨學(xué)科跨范圍的信息安全方法，例如，讓管理人員、用戶、行政人員、應(yīng)用程序設(shè)計(jì)人 員、審計(jì)人員以及安全人員和專家協(xié)同工作，讓他們參與保險(xiǎn)和風(fēng)險(xiǎn)管理的工作 。 根據(jù)需要，應(yīng)該建立專家提出信息安全建議的渠道，并供整個(gè)組織使用 。 應(yīng)該建立管理框架，在組織內(nèi)部開展和控制信息安全的管理實(shí)施。 還應(yīng)該進(jìn)行以下預(yù)定的、階段性的審查 ： a) 檢查策略的有效性，通過(guò)所記錄的安全事故的性質(zhì)、數(shù)量以及影響反映出來(lái)； b) 控制措施的成本及其業(yè)務(wù)效率的 影響 ； c) 技術(shù)變化帶來(lái)的影響 。 審查評(píng)估 每個(gè)策略應(yīng)該有一個(gè)負(fù)責(zé)人，他根據(jù)明確規(guī)定的審查程序?qū)Σ呗赃M(jìn)行維護(hù)和審查 。這對(duì)組織非常重要，例如： 1) 符合法律和合約的要求； 2) 安全教育的要求 ； 3) 防止并檢測(cè)病毒和其它惡意軟件； 4)業(yè)務(wù)連續(xù)性管理； 5) 違反安全策略的后果； d) 確定信息安全管理的一般責(zé)任和具體責(zé)任，包括報(bào)告安全事故 ； e) 參考支持安全策略的有關(guān)文 獻(xiàn)，例如針對(duì)特定信息系統(tǒng)的更為詳盡的安全策略和方法以及用戶應(yīng)該遵守的安全規(guī)則 。 文檔應(yīng)說(shuō)明管理人員承擔(dān)的義 務(wù)和責(zé)任，并制定組織的管理信息安全的步驟 。 管理層應(yīng)制定一個(gè)明確的安全策略方向，并通過(guò)在整個(gè)組織中發(fā)布和維護(hù)信息安全策略，表明自己對(duì)信息安全的支持和保護(hù)責(zé)任 。 可用性的定義是確保 獲得授權(quán)的用戶在需要時(shí)可以訪問(wèn)信息并使用相關(guān)信息資產(chǎn) 。 信息安全 信息保密性、完整性和可用性的保護(hù) 注意 保密性的定義是確保只有獲得授權(quán)的人才能訪問(wèn)信息。 目的是為制定組織安全標(biāo)準(zhǔn)和有效安全管理提供共同基礎(chǔ)，并提高組織間相互協(xié)調(diào)的信心。出現(xiàn)上述情況時(shí)，各控制措施之間相互參 照很有用，有利于審計(jì)人員和業(yè)務(wù)伙伴檢查是否符合安全指導(dǎo)原則。 本業(yè)務(wù)規(guī)則中的指導(dǎo)原則和控制措施并非全部適用 。 6 成功的關(guān)鍵因素 以往的經(jīng)驗(yàn)表明，在組織中成功地實(shí)施信息安全保護(hù)，以下因素是非常關(guān)鍵的： a) 反映組織目標(biāo)的安全策略、目標(biāo)以及活動(dòng) ； b) 與組織文化 一致的實(shí)施安全保護(hù)的方法 ； c) 來(lái)自管理層的實(shí)際支持和承諾 ； d) 對(duì)安全要求、風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)管理的深入理解 ； e) 向全體管理人員和雇員有效地推銷安全的理念 ； f) 向所有雇員和承包商宣傳信息安全策略的指導(dǎo)原則和標(biāo)準(zhǔn) ； g) 提供適當(dāng)?shù)呐嘤?xùn)和教育 ； h) 一個(gè)綜合平衡的測(cè)量系統(tǒng)，用來(lái)評(píng)估信息安全管理的執(zhí)行情況和反饋意見和建議，以便進(jìn)一步改進(jìn) 。 請(qǐng)注意，盡管本文檔中的所有文檔都很重要，但一種方法是否適用，還是取決于一個(gè)組織所面臨的特定安全風(fēng)險(xiǎn)。 在保護(hù)信息安全的實(shí)踐中，非常好的常用控制措施包括 ： a) 信息安全策略文檔（參閱 ）； b) 信息安全責(zé)任的分配（參閱 ） ； c) 信息 安全教育和培訓(xùn)（參閱 ）； d) 報(bào)告安全事故（參閱 ） ； e) 業(yè)務(wù)連續(xù)性管理（參閱 ） 。 這些方法可以是根據(jù)基本的法律要求制定的，也可以從信息安全的最佳實(shí)踐經(jīng)驗(yàn)中獲得。在下文的“信息安全起點(diǎn)”標(biāo)題下，對(duì)此做了較為詳 細(xì)的解釋。 還應(yīng)該考慮聲譽(yù)受損等非貨幣因素 。在較小的組織中很難將所有責(zé)任劃分清楚，因此需要使用其它方法以達(dá)到同樣的控制目的 。 但是，請(qǐng)務(wù)必注意，其中一些方法并不適用于所有信息系統(tǒng)或環(huán)境，而且可能不適用于所有組織 。 可以從本文檔或其它控制措施集合選擇適合的控制措施，也可以設(shè)計(jì)新的控制措施，以滿足特定的需求 。通常先在一個(gè)較高的層次上對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估（這是一種優(yōu)先處理高風(fēng)險(xiǎn)區(qū)域中的資源的方法），然后在一個(gè)具體層次上處理特定的風(fēng)險(xiǎn)。 對(duì)安全風(fēng)險(xiǎn)和實(shí)施的控制措施進(jìn)行定期審查非常重要，目 的是： a) 考慮業(yè)務(wù)要求和優(yōu)先順序的變更； b) 考慮新出現(xiàn)的安全威脅和漏洞； c) 確認(rèn)控制措施方法是否適當(dāng)和有效。 評(píng)估的結(jié)果有助于指導(dǎo)用戶確定適宜的管理手段，以及管理信息安全風(fēng)險(xiǎn)的優(yōu)先順序，并實(shí)施所選的控制措施來(lái)防范這些風(fēng)險(xiǎn)。在這些地方 ， 風(fēng)險(xiǎn)評(píng)估技術(shù)不僅切合實(shí)際，而且也頗有助 益 。 應(yīng)該將實(shí)施控制措施的支出與安全故障可能造成的商業(yè)損失進(jìn)行權(quán)衡考慮。 第三個(gè)來(lái)源是一組專門的信息處理的原則、目標(biāo)和要求，它們是組織為了進(jìn)行信息處理必須制定的。 通過(guò)風(fēng)險(xiǎn)評(píng)估，確定風(fēng)險(xiǎn)和安全漏洞對(duì)資產(chǎn)的威脅，并評(píng)價(jià)風(fēng)險(xiǎn)發(fā)生的可能性以及潛在的影響 。 安全要求有三個(gè)主要來(lái)源 。 如果在制定安全需求規(guī)范和設(shè)計(jì)階段時(shí)就考慮到了信息安全的控制措施，那么信息安全控制的成本會(huì)很低，并更有效率 。信息安全管理還需要供應(yīng)商、客戶或股東的參與。 確定需要使用什么控制措施需要周密計(jì)劃，并對(duì)細(xì)節(jié)問(wèn)題加以注意 。很多信息系統(tǒng)在設(shè)計(jì)時(shí)，沒有考慮到安全問(wèn)題 。 公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)的互聯(lián)以及對(duì)信息資源的共享，增大了對(duì)訪問(wèn)進(jìn)行控制的難度。 危害的來(lái)源多種多樣，如計(jì)算機(jī)病毒、計(jì)算機(jī) 黑客行為 、拒絕服務(wù)攻擊等等，這些行為呈蔓延之勢(shì)遍、用意更加險(xiǎn)惡，而且手段更加復(fù)雜。 為保證組織富有競(jìng)爭(zhēng)力，保持現(xiàn)金流順暢和組織贏利，以及遵紀(jì)守法和維護(hù)組織的良好商業(yè)形象，信息的保密性、完整性和可用性是至 關(guān)重要的。 必須建立起一整套的控制措施，確保滿足組織特定的安全目標(biāo)。 信息安全是通過(guò)實(shí)施一整套適當(dāng)?shù)目刂拼胧?shí)現(xiàn)的。 不管信息的形式如何，或通過(guò)什么手段進(jìn)行共享或存儲(chǔ)，都應(yīng)加以妥善保護(hù) 。信息存在的形式多種多樣。 3 什么是信息安全？ 信息是一種資產(chǎn)，就象其它重要的商業(yè)資產(chǎn)一樣，它對(duì)一個(gè)組織來(lái)說(shuō)是有價(jià)值的，因此需要妥善進(jìn)行保護(hù)。 British Standards 的用戶對(duì)他們正確使用本標(biāo)準(zhǔn)自負(fù)責(zé)任 。 附件 A 的信息非常豐富，其中包含一張表，說(shuō)明了 1995 年版各部分與 1999 年版各條款間的關(guān)系。 在使用時(shí)，不應(yīng)該有任何條條框框，尤其特別注意，不要因?yàn)橐笞袷厥貏t而因噎廢食 。例如，在制定公司策略或公司間貿(mào)易協(xié)定時(shí)，可以使用本文 檔作為一個(gè)基石。 并且在 形式上也不可能完全適合組織的所有潛在用戶。 本文檔所說(shuō)明的控制措施不可能完全適用于所有情況。 1999 年的修訂版考慮到最新的信息處理技術(shù)應(yīng)用，特別是網(wǎng)絡(luò)和通訊的發(fā)展情況。 其目的是將信息系統(tǒng)用于工業(yè)和商業(yè)用途時(shí)為確定實(shí)施控制 措施的范圍提供一個(gè)參考依據(jù)，并且能夠讓各種規(guī)模的組織所采用。 BS 7799 由兩個(gè)部分組成： ? 第一部分： 信息安全管理業(yè)務(wù)守則； ? 第二部分： 信息安全管理系統(tǒng)規(guī)范。 1 信息安全 管理 BS 77991:1999 第一部分： 信息安全管理 業(yè)務(wù)手則 2 前言 BS 7799 本部分內(nèi)容，即信息安全管理，是在 BSI/DISC 委員會(huì) BDD/2 指導(dǎo)下完成的。 它取代了已經(jīng)停止使用的 BS 7799:1995。 BS 77991 首發(fā)于 1995 年，它為信息安全提供了一套全面綜合最佳實(shí)踐經(jīng)驗(yàn)的控制措施。 本標(biāo)準(zhǔn)使用組織這一術(shù)語(yǔ)，既包括贏利性組織，也包括諸如公共部門等非贏利性組織。 它也更加強(qiáng)調(diào)了信息安全所涉及的商業(yè)問(wèn)題和責(zé)任問(wèn)題。 它 沒有考慮到本地系統(tǒng)、環(huán)境或技術(shù)上的制約因素。因此，本文檔還需要有進(jìn)一步的指導(dǎo)說(shuō)明作為補(bǔ)充。 British Standard 作為一個(gè)業(yè)務(wù)守則，在形式上采用指導(dǎo)和建議結(jié)合的方式。 本標(biāo)準(zhǔn)在起草時(shí)就已經(jīng)假定一個(gè)前提條件，即標(biāo)準(zhǔn)的執(zhí)行對(duì)象是具有相應(yīng)資格的、富有經(jīng)驗(yàn)的有關(guān)人士。 British Standard 無(wú)意包容合約的所有必要條款。 符合 British Standard 不代表其本身豁免法律義務(wù)。 信息安全保護(hù)信息免受多種威脅的攻擊，保證業(yè)務(wù)連續(xù)性，將業(yè)務(wù)損失降至最少，同時(shí)最大限度地獲得投資回報(bào)和利用商業(yè)機(jī)遇。它可以打印或?qū)懺诩埳?，以電子文檔形式儲(chǔ)存，通過(guò)郵寄或電子手段傳播，以膠片形式顯示或在交談中表達(dá)出來(lái) 。 信息安全具有以下 特征 ： a) 保密性： 確保只有經(jīng)過(guò)授權(quán)的人才能訪問(wèn)信息； b) 完整性： 保護(hù)信息和信息的處理方法準(zhǔn)確而完整； c) 可用性： 確保經(jīng)過(guò)授權(quán)的用戶在需要時(shí)可以訪問(wèn)信息并使用相關(guān)信息資產(chǎn)?？刂拼胧┌ú呗?、實(shí)踐、步驟、 組織 結(jié)構(gòu)和軟件功能。 為什么需要信息安全 信息和支持進(jìn)程、系統(tǒng)以及網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。 各個(gè)組織及其信息系統(tǒng)和網(wǎng)絡(luò)所面臨的安全威脅與日俱增，來(lái)源也日益廣泛，包括利用計(jì)算機(jī)欺詐、竊取機(jī)密、惡意詆毀破壞等行為以及火災(zāi)或水災(zāi)。組織對(duì)信息系統(tǒng)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊 。分布式計(jì)算盡管十分流行，但降低了集中式專家級(jí)控制措施的有效性。 通過(guò)技 術(shù)手段獲得安全保障十分有限，必須輔之以相應(yīng)的管理手段和操作程序才能得到真正的安全保障 。 作為信息安全管理的最基本要求，組織內(nèi)所有的雇員都應(yīng)參與信息安全管理 。也需要參考來(lái)自組織之外的專家的建議。 4 如何制定安全要求 組織確定自己的安全要求，這是安全保護(hù)的起點(diǎn) 。第一個(gè)來(lái)源是對(duì)組 織面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估的結(jié)果 。 第二個(gè)來(lái)源是組織、其商業(yè)伙伴、承包商和服務(wù)提供商必須滿足的法律、法令、規(guī)章以及合約方面的要求。 評(píng)估安全風(fēng)險(xiǎn) 安全要求是通過(guò)對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估確定的。風(fēng)險(xiǎn)評(píng)估技術(shù)適用于整個(gè)組織，或者組織的某一部分以及獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件或服務(wù)等 。 進(jìn)行風(fēng)險(xiǎn)評(píng)估需要系統(tǒng)地考慮以下問(wèn)題： a) 安全故障可能造成的業(yè)務(wù)損失，包含由于信息和其它資產(chǎn)的保密性、完整性或可用性損失可能造成的后果； b) 當(dāng)前主要的威脅和漏洞帶來(lái)的現(xiàn)實(shí)安全問(wèn)題，以及目前實(shí)施的控制措施。必須多次重復(fù)執(zhí)行評(píng)估風(fēng)險(xiǎn)和選擇控制措施的過(guò)程，以涵蓋組織的不同部分或各個(gè)獨(dú)立的信息系統(tǒng)。 應(yīng)該根據(jù)以前的評(píng)估結(jié)果以及管理層可以接受的風(fēng)險(xiǎn)程度變化對(duì)系統(tǒng)安全執(zhí)行不同程度的審查。 5 選擇控制措施 一旦確定了安全要求，就應(yīng)選擇并實(shí)施適宜的控制措施，確保將風(fēng)險(xiǎn)降低到一個(gè)可接受的程度 。 管理 風(fēng)險(xiǎn)有許多方法，本文檔提供了常用方法的示例 。 例如， 說(shuō)明了如何劃分責(zé)任來(lái)防止欺詐行為和錯(cuò)誤行為。 在降低風(fēng)險(xiǎn)和違反安全造成的潛在損失時(shí)，應(yīng)該根據(jù)實(shí)施控制措施的成本選擇控制措施 。 本文檔中的一些控制措施可以作為信息安全管理的指導(dǎo)性原則，這些方法適用于大多數(shù)組織。 信息安全起點(diǎn) 很多控制措施都可以作為指導(dǎo)性原則，它們?yōu)閷?shí)施信息安全提供了一個(gè)很好的起點(diǎn) 。 從規(guī)律規(guī)定的角度來(lái)看，對(duì)組織至關(guān)重要的控制措施包括： a) 知識(shí)產(chǎn)權(quán)（參閱 ）； b) 組織記錄的保護(hù)（參閱 ）； c) 對(duì)數(shù)據(jù)的保護(hù)和個(gè)人信息的隱私權(quán)保護(hù)（參閱 ） 。 這些控制措施適用于大多數(shù)組織，并可在大多數(shù)環(huán)境中使用。因此，盡管采用上述措施可以作為一個(gè)很好的安全保護(hù)起點(diǎn)，但不能取代根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果選擇控制措施的要求 。 制定自己的指導(dǎo)方針 業(yè)務(wù)規(guī)則可以作為制定組織專用的指導(dǎo)原則的起點(diǎn) 。 因此，還可能需要本文檔未包括的其它控制措施 。 7 目錄 1 .................................................................. 11 2 術(shù)語(yǔ)和定義 ....................................................... 11 信息安全 ....................................................... 11 風(fēng)險(xiǎn)評(píng)估 ....................................................... 11 風(fēng)險(xiǎn)管理 ....................................................... 12 3 安全策略 ......................................................... 12 信息安全策略 .................................................... 12 信息安全策略文檔 .................................................. 12 審查評(píng)估 ......................................................... 12 4 組織的安全 ....................................................... 13 信息安全基礎(chǔ)設(shè)施 ................................................ 13 管理信息安全論壇 .................................................. 13 信息安全的協(xié)調(diào) .................................................... 13 信息安全責(zé)任的劃分 ................................................ 14