BS7799認證

BS 7799(ISO/IEC17799):即國際信息安全管理標準體系,2000年12月,國際標準化組織ISO正式發布了有關信息安全的國際標準ISO17799,這個標準包括信息系統安全管理和安全認證兩大部分,是參照英國國家標準BS7799而來的。它是一個詳細的安全標準,包括安全內容的所有準則,由十個獨立的部分組成,每一節都覆蓋了不同的主題和區域。

由英國標準協會(BSI)編寫的信息安全管理體系標準BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機構、企業進行信息安全管理提供了一個完整的管理框架。

這一套‘姊妹對’標準引導機構、企業建立一個完整的信息安全管理體系,對信息安全進行動態的、以分析機構及企業面臨的安全風險為起點對企業的信息安全風險進行動態的、全面的、有效的、不斷改進的管理,並強調信息安全管理的目的是保持機構及企業業務的連續性不受信息安全事件的破壞,要從機構或企業現有的資源和管理基礎為出發點,建立信息安全管理體系(ISMS),不斷改進信息安全管理的水平,使機構或企業的信息安全以最小代價達到需要的水準。

保護信息安全,建立信息安全管理體系是機構或企業營運的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的參考依據,它以“計畫(Plan)、實施(Do)、檢查(Check)、行動(Action)”模式,將管理體系規範導入機構或企業內,以達到“持續改進”的目的。

隨著在世界範圍內信息化水平的不斷發展和貿易全球一體化的不斷普及和深入,信息系統在商業和政府組織中得到了真正的廣泛的套用。許多組織對其信息系統不斷增長的依賴性,加上在信息系統上運作業務的風險、收益和機會,使得信息安全管理成為企業管理越來越關鍵的一部分;在很多的場合,它已經成為一個組織生死存亡或貿易虧盈成敗的起決定性的因素,因此信息安全逐漸成為人們關注的焦點。世界範圍內的各國家、機構、組織、個人都在探尋如何保障信息安全的問題,各相關部門和研究機構也紛紛投入相當的人力、物力和資金試圖來解決信息安全問題。

在組織的決策者想方設法保障本組織的信息安全的同時,破壞方總能道高一尺,魔高一丈,數不勝數的計算機病毒、防不勝防的電腦黑客、各類層出不窮的泄密事故就是明證。就拿我國來說,近年來也接連不斷地出現了程度不同的信息安全事件,這些事件不僅僅是簡單的信息系統癱瘓的問題,其直接後果是導致巨大的經濟損失,還造成了不良的社會影響。如果說經濟損失還能彌補,那么由於信息網路的脆弱性而引起的公眾對網路社會的誠信危機則不是短時期內可能恢復的。

安全是一種"買不到"的東西。打開包裝箱後即插即用並提供足夠安全水平的安全防護體系是不存在的,因此,一些企業雖然安裝了一些安全產品,但並不等於擁有了一個真正的安全體系。而且相關調查數據顯示,超過75%的信息系統泄密和惡意攻擊事件都是人為造成的,即由於信息安全管理的缺位而造成的。而技術本身實際上只是信息安全體系里的一小部分。不管一項技術有多先進,都只不過是輔助實現信息安全的手段而已。大部分的信息安全管理專家認為技術並不是不重要,但在信息安全的架構里,它一定要在好的信息安全管理的基礎上,所以在業界素有三分技術,七分管理的說法。

正是在這樣的世界大環境和學術界共同認同的原則下,各國的研究機構都紛紛研究和制定信息安全管理、風險評估、信息安全技術的標準,而英國標準化協會(BSI),這個在全世界標準界負有盛名的機構,在成功地為ISO9000、ISO14000、OHSAS18000等世界著名的標準打好基礎後,又一次在信息安全管理領域拔得頭籌,其制定的BS7799信息安全管理標準又一次成為國際上最具權威的和最具代表性的標準。

早在1995年2月,英國標準協會(BSI)就提出制定信息安全管理標準,並迅速於1995年5月制訂完成,且於1999年重新修改了該標準。BS7799分為兩個部分:BS7799-1,《信息安全管理實施規則》;BS7799-2《信息安全管理體系規範》;其中BS7799-1:1999於2000年12月通過ISO/IECJTC1(國際標準化組織和國際電工委員會的聯合技術委員會)認可,正式成為國際標準,即ISO/IEC17799:2000《信息技術-信息安全管理實施細則》。這是通過ISO表決最快的一個標準,足見世界各國對該標準的關注和接受程度。而在2002年9月5日英國標準化協會又發布了新版本BS7799-2:2002替代了BS7799-2:1999。

儘管ISO/IEC 17799是在很多國家的反對聲中被採納的,BS7799-1在轉換成ISO/IEC 17799的過程中受到了包括美國等很多已開發國家的反對;儘管國際信息安全界對ISO/IEC 17799的爭議很多,而且已經有幾個國家指出,ISO/IEC 17799的某些部分與其國家法律存在著衝突,尤其是在隱私領域,但其普及和推廣已是勢不可當,到目前為止已有二十多個國家引用BS7799-2作為國標,BS7799(ISO/IEC 17799)也是賣出拷貝最多的管理標準,越來越多的信息安全公司都以BS7799作指導為客戶提供信息安全諮詢服務。而且令人高興的是ISO/IEC 17799不久它就會出新版本。

截至目前全球已有41個國家和地區的878個組織獲得了BS7799-2的認證,其中日本最多408家,英國其次157家,中國有49家,其中大陸9家,台灣25家,香港15家。全球已獲得BS7799-2認證資格的認證機構有26個,認可機構有3個,分別為歐洲認可聯盟(EA),國際認可聯盟(IAF)以及英國的UKAS;目前我國還沒有獲得國際認可的認證機構。

信息安全管理體系的認證審核與環境、職業健康安全管理體系的審核類似,分兩個階段,多數認證機構在第三年需要進行重新審核,但BSI不需要。

BSI沒有向ISO/IECJTC1提交BS7799-2,也沒有跡象表明BSI是否會在將來提交。ISO/IECJTC1也還沒有計畫去制定ISO/IEC 17799-2。在類似於ISO/IEC 17799-2的標準被ISO/IECJTC1接受以前,不可能有“官方”的ISO/IEC 17799認證項目。

BS7799-2信息安全管理體系(ISMS)審核員的註冊由國際註冊審核員協會(IRCA)進行,分四個等級,分別為實習審核員、審核員、主任審核員、首席審核員;其中首席審核員分為兩種,一種為諮詢師,一種為組長。

目前，已有20多個國家引用BS 7799-2作為國標，BS 7799（ISO/IEC17799）也是賣出拷貝最多的管理標準，其在歐洲的證書發放量已經超過ISO9001.並有41 個國家和地區開展了此項業務， 我國的台灣和香港地區也已經採用並推廣了BS7799 標準。在台灣，BS7799-1:1999 被引用為CNS 17799,而BS7799-2:2002 則被引用為CNS 17800.在中國大陸， BS7799 標準全面解析（ISMG-005）的國標化一直是個熱點議題，而相關的ISMS 認證工作正在試點運行。

BS7799標準從正式發布到現在的十年時間裡，全球接受並且按照BS7799 最佳實踐來實施ISMS 的組織達到了近10 萬家，其中很多都是國際上知名的企業，例如富士通、KPMG、Insight、三星電子、東芝、索尼、Symantec 等。根據ISO/IEC 17799（BS 7799）國際使用者協會的最新統計，到2005年4月，全球通過信息安全管理體系BS 7799-2認證的組織已經超過1200家。證書主要集中在日本、英國、印度、台灣。證書的行業分布主要在政府、金融、通信、電子、物流等行業。

信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及電信、保險、銀行、數據處理中心、IC製造和軟體外包等的企業。