IT治理信息安全管理：標(biāo)準(zhǔn)、理解與實(shí)施(孫強(qiáng) 郝曉玲)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

1 信息安全管理的重要意義

在當(dāng)今全球一體化的商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對(duì)其信息系統(tǒng)不斷增長(zhǎng)的依賴(lài)性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使得信息安全管理成為企業(yè)管理越來(lái)越關(guān)鍵的一部分。管理高層需要確保信息技術(shù)適應(yīng)企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當(dāng)利用信息技術(shù)的優(yōu)勢(shì)。

但現(xiàn)實(shí)世界的任何系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所有地方，其中一些甚至連系統(tǒng)的設(shè)計(jì)者、實(shí)現(xiàn)者和使用者都不知道。因此，不安全因素總是存在。沒(méi)有一個(gè)系統(tǒng)是完美的，沒(méi)有一項(xiàng)技術(shù)是靈丹妙藥。

目前業(yè)界普遍認(rèn)為，信息安全是政府和企業(yè)必須攜手面對(duì)的問(wèn)題。政府和企業(yè)管理層有責(zé)任確保為所有使用者提供一個(gè)安全的信息系統(tǒng)環(huán)境，而且，政府部門(mén)和企業(yè)在認(rèn)識(shí)到安全的信息系統(tǒng)好處的同時(shí)，應(yīng)該自我保護(hù)以避免使用信息系統(tǒng)時(shí)的固有風(fēng)險(xiǎn)。

中國(guó)工程院院長(zhǎng)徐匡迪曾指出："沒(méi)有安全的工程就是豆腐渣工程"。今年我國(guó)接連不斷地出現(xiàn)程度不同的信息安全事件，這些事件不僅僅是簡(jiǎn)單的信息系統(tǒng)癱瘓的問(wèn)題，其直接后果是導(dǎo)致巨大的經(jīng)濟(jì)損失，還造成了不良的社會(huì)影響。如果說(shuō)經(jīng)濟(jì)損失還能彌補(bǔ)，那么由于信息網(wǎng)絡(luò)的脆弱性而引起的公眾對(duì)網(wǎng)絡(luò)社會(huì)的誠(chéng)信危機(jī)則不是短時(shí)期內(nèi)可能恢復(fù)的。

我國(guó)政府主管部門(mén)以及各行各業(yè)已經(jīng)認(rèn)識(shí)到了信息安全的重要性。政府部門(mén)開(kāi)始出臺(tái)一系列相關(guān)策略，直接牽引、推進(jìn)信息安全的應(yīng)用和發(fā)展。由政府主導(dǎo)的各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè)，也開(kāi)始出臺(tái)對(duì)信息安全技術(shù)產(chǎn)品的應(yīng)用標(biāo)準(zhǔn)和規(guī)范。國(guó)務(wù)院信息化工作小組最近頒布的《關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)》也強(qiáng)調(diào)指出了電子政務(wù)建設(shè)中信息系統(tǒng)安全的重要性；中國(guó)人民銀行正在加緊制定網(wǎng)上銀行系統(tǒng)安全性評(píng)估指引，并明確提出對(duì)信息安全的投資要達(dá)到IT總投資的10%以上，而在其他一些關(guān)鍵行業(yè)，信息安全的投資甚至已經(jīng)超過(guò)了總IT預(yù)算的30-50%。

我們回頭來(lái)看，政府和各行各業(yè)對(duì)信息安全的重要性有了認(rèn)識(shí)，相關(guān)的標(biāo)準(zhǔn)規(guī)范正在形成，投資力度在加大，安全技術(shù)、產(chǎn)品、市場(chǎng)在發(fā)展，多數(shù)企業(yè)機(jī)構(gòu)正在制定符合不同業(yè)務(wù)信息系統(tǒng)和網(wǎng)絡(luò)安全等級(jí)需要的綜合性安全策略和計(jì)劃。那么，我們?yōu)槭裁匆廊粵](méi)有安全感呢？！到底需要什么樣的方法或機(jī)制來(lái)管理或治理信息安全呢？經(jīng)過(guò)近一年對(duì)國(guó)內(nèi)外信息安全和最佳實(shí)務(wù)的研究，我們認(rèn)為關(guān)鍵是要建立一套能夠涵蓋組織信息安全的制度安排機(jī)制，它包括治理機(jī)制和治理結(jié)構(gòu)，這種制度安排通過(guò)建立和維護(hù)一個(gè)框架來(lái)保證信息安全戰(zhàn)略和組織的業(yè)務(wù)目標(biāo)精確校準(zhǔn)，并且和相關(guān)的法律和規(guī)范一致。從后面的分析闡述中，我們可以看到有效的信息安全治理是非常必要的。

BS 7799作為信息安全管理領(lǐng)域的一個(gè)權(quán)威標(biāo)準(zhǔn)，是全球業(yè)界一致公認(rèn)的輔助信息安全治理的手段，該標(biāo)準(zhǔn)的最大意義就在于它給管理層一整套可"量體裁衣"的信息安全管理要項(xiàng)、一套與技術(shù)負(fù)責(zé)人或在高層會(huì)議上進(jìn)行溝通的共同語(yǔ)言以及保護(hù)信息資產(chǎn)的制度框架，這正是管理層能夠接受并理解的，而此前與之對(duì)應(yīng)的情形是：一旦出現(xiàn)信息安全事件，IT部門(mén)負(fù)責(zé)人就想到要采用最先進(jìn)的信息安全技術(shù)，如購(gòu)買(mǎi)先進(jìn)的防火墻等等，客觀上讓人感覺(jué)到IT部門(mén)總是在花錢(qián)，這是管理層難以理解和不接受的。BS 7799 管理體系將IT策略和企業(yè)發(fā)展方向統(tǒng)一起來(lái)，確保IT資源用得其所，使與IT相關(guān)的風(fēng)險(xiǎn)受到適當(dāng)?shù)目刂?。該?biāo)準(zhǔn)通過(guò)保證信息的機(jī)密性，完整性和可用性來(lái)管理和保護(hù)組織的所有信息資產(chǎn)，通過(guò)方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來(lái)確定控制方式并實(shí)施控制，組織按照這套標(biāo)準(zhǔn)管理信息安全風(fēng)險(xiǎn)，可持續(xù)提高管理的有效性和不斷提高自身的信息安全管理水平，降低信息安全對(duì)持續(xù)發(fā)展造成的風(fēng)險(xiǎn)，最終保障組織的特定安全目標(biāo)得以實(shí)現(xiàn)，進(jìn)而利用信息技術(shù)為組織創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。

2 信息安全標(biāo)準(zhǔn)簡(jiǎn)介與適用范圍

BS 7799主要提供了有效地實(shí)施IT安全管理的建議，介紹了安全管理的方法和程序。用戶(hù)可以參照這個(gè)完整的標(biāo)準(zhǔn)制訂出自己的安全管理計(jì)劃和實(shí)施步驟，為公司發(fā)展、實(shí)施和估量有效的安全管理實(shí)踐提供參考依據(jù)。該標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定，是目前英國(guó)最暢銷(xiāo)的標(biāo)準(zhǔn)。在此，我們順便介紹一下英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)是全球領(lǐng)先的國(guó)際標(biāo)準(zhǔn)、產(chǎn)品測(cè)試、體系認(rèn)證機(jī)構(gòu)。我們所熟知的ISO 9000（質(zhì)量管理體系）、ISO 14001（環(huán)境管理體系）、OHSAS 18001（職業(yè)健康與安全管理體系）、QS-9000 / ISO/TS 16949（汽車(chē)供應(yīng)行業(yè)的質(zhì)量管理體系）以及TL 9000（電信供應(yīng)行業(yè)的質(zhì)量管理體系）均是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)發(fā)起制定的，因此，如果企業(yè)已經(jīng)實(shí)施了ISO 9000，就很容易整合實(shí)施其它的管理標(biāo)準(zhǔn)，當(dāng)然也包括BS 7799。

BS 7799-1于1995年首次出版，標(biāo)準(zhǔn)規(guī)定了一套適用于工商業(yè)組織使用的信息系統(tǒng)的信息安全管理體系（ISMS）控制條件，包括網(wǎng)絡(luò)和溝通中使用的信息處理技術(shù)，并提供了一套綜合的信息安全實(shí)施規(guī)則，作為工商業(yè)組織的信息系統(tǒng)在大多數(shù)情況下所遵循的唯一參考基準(zhǔn)，標(biāo)準(zhǔn)的內(nèi)容定期進(jìn)行評(píng)定。BS 7799：1999是1995版本的一個(gè)修訂和擴(kuò)展版本，它充分考慮了信息處理技術(shù)，尤其是網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的最新發(fā)展，同時(shí)還強(qiáng)調(diào)了涉及商務(wù)的信息安全責(zé)任，擴(kuò)展了新的控制。例如，新版本包括關(guān)于電子商務(wù)，移動(dòng)計(jì)算機(jī)，遠(yuǎn)程工作和外部采辦等領(lǐng)域的控制。

2000年12月，BS 7799-1通過(guò)國(guó)際化標(biāo)準(zhǔn)組織認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)ISO 17799，這是通過(guò)ISO 表決最快的一個(gè)標(biāo)準(zhǔn)，足見(jiàn)世界各國(guó)對(duì)該標(biāo)準(zhǔn)的關(guān)注和接受程度。目前，已有二十多個(gè)國(guó)家引用BS 7799-2作為國(guó)標(biāo)，BS 7799(ISO/IEC17799)也是賣(mài)出拷貝最多的管理標(biāo)準(zhǔn)，其在歐洲的證書(shū)發(fā)放量已經(jīng)超過(guò)ISO9001，越來(lái)越多的信息安全公司都以BS 7799 作指導(dǎo)為客戶(hù)提供信息安全咨詢(xún)服務(wù)。由此可見(jiàn)，BS 7799是國(guó)際上當(dāng)之無(wú)愧的信息安全管理標(biāo)準(zhǔn)。

在該標(biāo)準(zhǔn)中，信息安全已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡(jiǎn)單的設(shè)備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報(bào)。信息安全的涵義主要體現(xiàn)在以下三個(gè)方面：

· 安全性：確保信息僅可讓授權(quán)獲取的人士訪問(wèn)；

· 完整性：保護(hù)信息和處理方法的準(zhǔn)確和完善；

· 可用性：確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。

BS 7799信息安全管理體系標(biāo)準(zhǔn)強(qiáng)調(diào)風(fēng)險(xiǎn)管理的思想。傳統(tǒng)的信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式、事后糾正式的管理方式，導(dǎo)致的結(jié)果是不能從根本上避免、降低各類(lèi)風(fēng)險(xiǎn)，也不能降低信息安全故障導(dǎo)致的綜合損失。而B(niǎo)S 7799標(biāo)準(zhǔn)基于風(fēng)險(xiǎn)管理的思想，指導(dǎo)組織建立信息安全管理體系ISMS。ISMS是一個(gè)系統(tǒng)化、程序化和文件化的管理體系，基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方要求，強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn)，使信息風(fēng)險(xiǎn)的發(fā)生概率和結(jié)果降低到可接受收水平，確保信息的保密性、完整性和可用性，保持組織業(yè)務(wù)運(yùn)作的持續(xù)性。

3 BS 7799的主要內(nèi)容

下面主要以BS 7799：1999為例介紹標(biāo)準(zhǔn)的主要內(nèi)容。該標(biāo)準(zhǔn)主要由兩大部分組成：BS 7799-1：1999，以及BS 7799-2：1999。

3.1 第一部分（BS 7799-1）簡(jiǎn)介

信息安全管理實(shí)施規(guī)則，是作為國(guó)際信息安全指導(dǎo)標(biāo)準(zhǔn)ISO/IEC 17799基礎(chǔ)的指導(dǎo)性文件，主要是給負(fù)責(zé)開(kāi)發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。這一部分包括十大管理要項(xiàng)，三十六個(gè)執(zhí)行目標(biāo)，一百二十七種控制方法，如圖一所示。其詳細(xì)內(nèi)容如表1所示：

附注：(m，n)－ m：執(zhí)行目標(biāo)的數(shù)目 n：控制方法的數(shù)目

圖一 十大管理要項(xiàng)圖

表1 BS 7799 的內(nèi)容列表

3.2 第二部分（BS 7799-2）簡(jiǎn)介

信息安全管理系統(tǒng)的規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)（ISMS）的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂啤１静糠痔岢隽藨?yīng)該如何了建立信息安全管理體系的步驟，如圖1所示：

（1）定義信息安全策略

信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門(mén)的實(shí)際情況，分別制訂不同的信息安全策略。例如，規(guī)模較小的組織單位可能只有一個(gè)信息安全策略，并適用于組織內(nèi)所有部門(mén)、員工；而規(guī)模大的集團(tuán)組織則需要制訂一個(gè)信息安全策略文件，分別適用于不同的子公司或各分支機(jī)構(gòu)。信息安全策略應(yīng)該簡(jiǎn)單明了、通俗易懂，并形成書(shū)面文件，發(fā)給組織內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)，對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正植根于組織內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。

(2)定義ISMS的范圍

ISMS的范圍確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門(mén)或領(lǐng)域構(gòu)架ISMS。在本階段，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼?

(3)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全管制措施進(jìn)行鑒定。風(fēng)險(xiǎn)評(píng)估主要依賴(lài)于商業(yè)信息和系統(tǒng)的性質(zhì)、使用信息的商業(yè)目的、所采用的系統(tǒng)環(huán)境等因素，組織在進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估時(shí)，需要將直接后果和潛在后果一并考慮。

(4)信息安全風(fēng)險(xiǎn)管理

根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理主要包括以下幾種措施：

降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)嫁風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)；

避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)很容易避免，例如通過(guò)采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等；

轉(zhuǎn)嫁風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。

接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。

（5）確定管制目標(biāo)和選擇管制措施。

管制目標(biāo)的確定和管制措施的選擇原則是費(fèi)用不超過(guò)風(fēng)險(xiǎn)所造成的損失。由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，組織應(yīng)實(shí)時(shí)對(duì)選擇的管制目標(biāo)和管制措施加以校驗(yàn)和調(diào)整，以適應(yīng)變化了的情況，使組織的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。

(6)準(zhǔn)備信息安全適用性聲明。

信息安全適用性聲明紀(jì)錄了組織內(nèi)相關(guān)的風(fēng)險(xiǎn)管制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取的各種控制措施。信息安全適用性聲明的準(zhǔn)備，一方面是為了向組織內(nèi)的員工聲明對(duì)信息安全面對(duì)的風(fēng)險(xiǎn)的態(tài)度，在更大程度上則是為了向外界表明組織的態(tài)度和作為，以表明組織已經(jīng)全面、系統(tǒng)地審視了組織的信息安全系統(tǒng)，并將所有有必要管制的風(fēng)險(xiǎn)控制在能夠被接受的范圍內(nèi)。

3.3 新版本BS 7799-2:2002的特點(diǎn)

新版本BS 7799-2:2002于2002年9月5日在英國(guó)發(fā)布。新版本同ISO 9001:2000(質(zhì)量管理體系) 和ISO 14001:1996（環(huán)境管理體系）等國(guó)際知名管理體系標(biāo)準(zhǔn)采用相同的風(fēng)格，使信息安全管理體系更容易和其它的管理體系相協(xié)調(diào)。新版標(biāo)準(zhǔn)的主要更新在于：

·PDCA(Plan-Do-Check-Act)的模型

·基于PDCA模型的基于過(guò)程的方法

·對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程、控制選擇和適用性聲明的內(nèi)容與相互關(guān)系的闡述

·對(duì)ISMS持續(xù)過(guò)程改進(jìn)的重要性

·文檔和記錄方面更清楚的需求

·風(fēng)險(xiǎn)評(píng)估和管理過(guò)程的改進(jìn)

·對(duì)新版本使用提供指南的附錄

新版本在介紹信息安全管理體系的建立、實(shí)施和改進(jìn)的過(guò)程中也引用了PDCA模型，按照PDCA模型將信息安全管理體系分解成風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)與執(zhí)行、安全管理和再評(píng)估四個(gè)子過(guò)程，特別介紹了基于PDCA模型的過(guò)程管理方法，并在附錄中為解釋或采用新版標(biāo)準(zhǔn)提供了指南，如圖2所示。組織通過(guò)持續(xù)的執(zhí)行這些過(guò)程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過(guò)程如下：

1. 計(jì)劃（PLAN）:定義信息安全管理體系的范圍，鑒別和評(píng)估業(yè)務(wù)風(fēng)險(xiǎn)

2. 實(shí)施(DO )：實(shí)施同意的風(fēng)險(xiǎn)治理活動(dòng)以及適當(dāng)?shù)目刂?

3. 檢查(CHECK)：監(jiān)控控制的績(jī)效，審查變化中環(huán)境的風(fēng)險(xiǎn)水平，執(zhí)行內(nèi)部信息安全管理體系審計(jì)

4. 改進(jìn)(ACTION)：在信息安全管理體系過(guò)程方面實(shí)行改進(jìn)，并對(duì)控制進(jìn)行必要的改進(jìn)，以滿(mǎn)足環(huán)境的變化。

　　圖2 PDCA模型應(yīng)用與信息安全管理體系過(guò)程

新版標(biāo)準(zhǔn)較BS7799-2:1999沒(méi)有引入任何新的審核和認(rèn)證要求，新標(biāo)準(zhǔn)完全兼容依據(jù)BS 7799-2:1999建立、實(shí)施和保持的信息安全管理體系（ISMS）。新版標(biāo)準(zhǔn)沒(méi)有增加任何控制目標(biāo)和控制方式，所有的控制目標(biāo)和控制方式都是來(lái)自ISO/IEC 17799:2000。只是新版標(biāo)準(zhǔn)將原來(lái)BS7799-2:1999的第四部分作為附件A放在了標(biāo)準(zhǔn)后面，而且采用了不同的編號(hào)方式，將BS7799-2:1999和ISO/IEC 17799:2000結(jié)合起來(lái)了。

4 BS 7799的簡(jiǎn)單評(píng)價(jià)

BS 7799提供了一個(gè)組織進(jìn)行有效安全管理的公共基礎(chǔ)，反映了信息安全的"三分技術(shù)，七分管理"的原則。它全面涵蓋了信息系統(tǒng)日常安全管理方面的內(nèi)容，提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境。包括安全管理的注意事項(xiàng)和安全制度，例如磁盤(pán)文件交換和處理的安全規(guī)定、設(shè)備的安全配置管理、工作區(qū)進(jìn)出的控制等一些很容易理解的問(wèn)題。這些管理制度易于理解，一般的單位都可以制定，具有可操作性，推廣信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在于重視程度和制度落實(shí)方面。

BS 7799是對(duì)一個(gè)組織進(jìn)行全面信息安全評(píng)估的基礎(chǔ)，可以作為組織實(shí)施信息安全管理的一項(xiàng)體制。它規(guī)定了建立、實(shí)施信息安全管理體系的文檔，以及如何根據(jù)組織的需要進(jìn)行安全控制，可以作為一個(gè)非正式認(rèn)證方案的基礎(chǔ)。

然而，BS 7799僅僅提供一些原則性的建議，如何將這些原則性的建議與各個(gè)組織單位自身的實(shí)際情況相結(jié)合，構(gòu)架起符合組織自身狀況的ISMS，才是真正具有挑戰(zhàn)性的工作。BS 7799在標(biāo)準(zhǔn)里描述的所有控制方式并非都適合于每種情況，它不可能將當(dāng)?shù)叵到y(tǒng)、環(huán)境和技術(shù)限制考慮在內(nèi)，也不可能適合一個(gè)組織中的每個(gè)潛在的用戶(hù)，因此，這個(gè)標(biāo)準(zhǔn)還需結(jié)合實(shí)際情況進(jìn)一步加以補(bǔ)充。

此外，信息安全管理建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，而風(fēng)險(xiǎn)評(píng)估本身是一個(gè)復(fù)雜的過(guò)程，不同組織面臨不同程度和不同類(lèi)型的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的測(cè)度需要有效的方法支持，因此按照該標(biāo)準(zhǔn)衡量一個(gè)系統(tǒng)還需要一些相關(guān)技術(shù)的配合。

5 信息安全管理體系的實(shí)施

實(shí)施管理體系需要切實(shí)可行的計(jì)劃以及管理高層的支持。對(duì)于所有的管理體系，在實(shí)施的過(guò)程中都是運(yùn)用相近的工具和相同的方法來(lái)完成。因此，以下內(nèi)容同樣適用于其它管理體系的實(shí)施。

5.1 了解BS7799管理體系及其要求　　

管理層支持

所有員工都與決定實(shí)施BS7799管理體系有關(guān)，并要求對(duì)體系所包括的內(nèi)容有一定的了解。典型的例子是：當(dāng)?shù)谝淮螌?shí)施BS7799管理體系時(shí)，管理高層決定實(shí)施，但實(shí)際實(shí)施的職責(zé)將落在實(shí)施經(jīng)理的身上，如信息中心主任。理想的情況是，實(shí)施BS7799管理體系應(yīng)由見(jiàn)多識(shí)廣的管理高層來(lái)決定，他們的支持須貫穿于整個(gè)實(shí)施管理體系的長(zhǎng)期過(guò)程中。

提升對(duì)管理體系的理解

所有實(shí)施體系的人員應(yīng)了解標(biāo)準(zhǔn)并熟練掌握，因此需要將BS7799印刷多份并分發(fā)給參與體系實(shí)施的每一個(gè)人員，所有人員從仔細(xì)閱讀BS7799標(biāo)準(zhǔn)，通過(guò)召開(kāi)例會(huì)學(xué)習(xí)BS7799的總體內(nèi)容，并藉此進(jìn)行安全意識(shí)訓(xùn)練。在這個(gè)階段，還可以通過(guò)專(zhuān)家講座的形式，如管理高層親自參加一天的介紹性的培訓(xùn)課程，這對(duì)體系的建立是有很大的好處，同時(shí)實(shí)施經(jīng)理也會(huì)受益非淺，但如果能夠參加更詳細(xì)培訓(xùn)，毫無(wú)疑問(wèn)這將更有利于BS7799標(biāo)準(zhǔn)的實(shí)施。

5.2 實(shí)施體系

選擇性的支持服務(wù)和書(shū)籍

當(dāng)真正決定開(kāi)始實(shí)施信息安全管理體系時(shí)，參與培訓(xùn)課程和購(gòu)買(mǎi)書(shū)籍是必不可少的。不過(guò)目前有不少企業(yè)為了實(shí)施的有效性，會(huì)選擇聘請(qǐng)顧問(wèn)公司來(lái)幫助建立信息安全管理體系。顧問(wèn)公司可以在實(shí)施的全過(guò)程和怎樣建立一套最適合客戶(hù)業(yè)務(wù)發(fā)展的管理體系中起到協(xié)助的作用，并為客戶(hù)提供更多的增值服務(wù)。

員工對(duì)信息安全管理體系的培訓(xùn)和掌握

在實(shí)施的過(guò)程中，全體員工對(duì)信息安全管理體系的認(rèn)識(shí)是非常重要的。如他們的日常工作是什么和對(duì)其有什么影響。故培訓(xùn)課程對(duì)這方面是很有幫助的，另外有不少企業(yè)還會(huì)要求開(kāi)發(fā)一些符合其自己特殊需求的課程。

5.3 申請(qǐng)信息安全管理體系的認(rèn)證

一量信息安全管理體系開(kāi)始運(yùn)行，為了確保其長(zhǎng)期有效的運(yùn)行，獲得第三方認(rèn)證機(jī)構(gòu)的認(rèn)證是必要的。

選擇合適的認(rèn)證機(jī)構(gòu)

·選擇認(rèn)證機(jī)構(gòu)是一個(gè)綜合考慮多種因素的復(fù)雜過(guò)程，選擇一個(gè)最適合和最能滿(mǎn)足自己需要的認(rèn)證機(jī)構(gòu)是非常重要的一步，通常需要考慮因素如下：

·地域的覆蓋----某些認(rèn)證機(jī)構(gòu)只是覆蓋較小的地域，但其它的認(rèn)證機(jī)構(gòu)則是在全球開(kāi)展其業(yè)務(wù)。

·行業(yè)經(jīng)驗(yàn)----一些認(rèn)證機(jī)構(gòu)在各行各業(yè)都有審核人員，但某些只是在少數(shù)行業(yè)內(nèi)有審核人員。

·獲得認(rèn)可機(jī)構(gòu)的認(rèn)可----某些認(rèn)證機(jī)構(gòu)是沒(méi)有獲得認(rèn)可的，有些則獲得少數(shù)認(rèn)可機(jī)構(gòu)的認(rèn)可，有些則獲得很多認(rèn)可，當(dāng)然獲得更多認(rèn)可對(duì)申請(qǐng)認(rèn)證的企業(yè)非常重要。

·價(jià)格的結(jié)成和比率----某些認(rèn)證機(jī)構(gòu)改變正常的費(fèi)用，有些則不同。應(yīng)著眼于多年的總計(jì)費(fèi)用，而并不只是第一年的費(fèi)用。

申請(qǐng)認(rèn)證的過(guò)程

一旦選定適合您的認(rèn)證機(jī)構(gòu)后，認(rèn)證的過(guò)程通常包括以下的步驟：

·選擇性的預(yù)備審核

·正式審核

·審核結(jié)果

·監(jiān)督審核

·多數(shù)認(rèn)證機(jī)構(gòu)在第三年須要進(jìn)行重新審核，但BSI不需要。

5.4 推廣和維護(hù)既有的信息安全管理體系

經(jīng)過(guò)努力的工作，獲得管理體系的證書(shū)，并不只是企業(yè)內(nèi)部受益，可以向客戶(hù)或利益相關(guān)方提供己方符合信息安全管理國(guó)際標(biāo)準(zhǔn)的證據(jù)，使組織獲得期望的信賴(lài)。為使信息安全管理體系保持有效，組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正、預(yù)防行動(dòng)及管理評(píng)審信息來(lái)持續(xù)地維護(hù)和改善ISMS的有效性。另外，為了維持證書(shū)的有效性，維持和持續(xù)改善貫穿于整個(gè)監(jiān)督審核的全過(guò)程。

結(jié)束語(yǔ)

安全是一種"買(mǎi)不到"的東西。打開(kāi)包裝箱后即插即用并提供足夠安全水平的安全防護(hù)體系是不存在的。建立一個(gè)有效的信息安全體系首先需要在好的信息安全治理的基礎(chǔ)上，其次要制定出相關(guān)的管理策略和規(guī)章制度，然后才是在安全產(chǎn)品的幫助下搭建起整個(gè)架構(gòu)。相反，就不可能得到一個(gè)真正意義上的安全防護(hù)體系。這些單位可能安裝了一些安全產(chǎn)品，但并沒(méi)有一個(gè)安全的體系，因?yàn)闆](méi)有建立它的基礎(chǔ)。