信息安全管理标准 BS7799-2:2002 介绍及风险评估
Information Security Management Standard BS7799-2:2002 AND
Risk Assessment
山东科飞管理咨询公司 王毅刚 吴昌伦
摘要:介绍了信息安全管理体系标准的发展及 2002 年 9 月 5 日英国标准委员会 BSI 正
式发布的信息安全管理标准 BS7799-2:2002,着重介绍了标准改版的原因及其与其他管理标
准的相容性。对于建立信息安全管理体系的重点部分--风险评估,也作了简要地介绍。
一、BS7799 信息安全管理体系标准的发展
随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界
范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞
典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布
了 ISO17799、ISO13335、ISO15408 等与信息安全相关的国际标准及技术报告。目前,在信
息安全管理方面,英国标准 BS7799 已经成为世界上应用最广泛与典型的信息安全管理标准,
它是在 BSI/DISC 的 BDD/2 信息安全管理委员会指导下制定完成。BS7799 标准于 1993 年由
英国贸易工业部立项,于 1995 年英国首次出版 BS 7799-1:1995《信息安全管理实施细
则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商
业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998
年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信
息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一
个正式认证方案的根据。BS7799-1 与 BS7799-2 经过修订于 1999 年重新予以发布,1999 版
考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉
及的信息安全及信息安全的责任。2000 年 12 月,BS7799-1:1999《信息安全管理实施细则》
通过了国际标准化组织 ISO 的认可,正式成为国际标准-----ISO/IEC17799-1:2000《信息技
术-信息安全管理实施细则》。2002 年 9 月 5 日,BS7799-2:2002 草案经过广泛的讨论之后,
终于发布成为正式标准,同时 BS7799-2:1999 被废止。现在,BS7799 标准已得到了很多国
家的认可,是国际上具有代表性的信息安全管理体系标准。目前除英国之外,还有荷兰、丹
麦、澳大利亚、巴西等国已同意使用该标准;日本、瑞士、卢森堡等国也表示对 BS7799 标
准感兴趣,我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公
司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管
理。截至 2002 年 9 月,全球共有 142 家各类组织通过了 BS7799 信息安全管理体系认证。
二、BS7799-2:2002 简介
2002 年 9 月 5 日,BSI 发布了最新版的 BS7799-2:2002 标准, 新版的标准结构如下:
0 引言
1 范围
2 引用标准
3 术语及定义
4 信息安全管理体系
5 管理职责
6 资源管理
7 ISMS 评审
8 改进
可以看出 BS7799-2:2002 标准结构上的修订,更加贴近 ISO9001:2000,更好的采用了过
程的方法,利用 PDCA 的循环不断改进信息安全管理体系,这也是 BS7799-2:2002 与
BS7799-2:1999 的一个重要的差别。
以下是标准改版的动因:
修订 BS7799 第二部分标准,主要是为了:
与其它管理体系标准协调一致,例如 ISO9000 和 ISO14001;
引入并应用 PDCA(计划、实施、检查、措施)过程模式,以建立、实施组织的信
息安全管理体系,并持续改进其有效性。(图 1)
BS7799-2:2002 信息安全管理体系规范作为体系认证的唯一参考标准,其修订版中有下
列几个突出的部分:
1、标准第 4 节到第 7 节规定了基于 PDCA 过程模式的信息安全管理体系。这是对包含
在 1999 版第 3 节中的"过程"的扩充。
2、1999 版第 4 节中的控制目标和控制方式在标准附录 A 中表述。附录包含的控制目标
与控制方式来自 ISO/IEC17799:2000。
3、标准附录 B 中提供了修订版的解释和使用指南。
4、标准附录 C 中列出了 BS7799-2:2002、ISO9001:2000 和 ISO14001:1996 个章节之间
的对应关系。
5、修订过程中,将适用性声明(SoA)的定义从主要内容中删除,在附录 B(参考附
录 )中增加了适用性声明的概念,以及对控制概要的理解。另外,为了与其它管理体
系标准保持一致,内容中还增加了"范围"的界定,关于标准要求的排除,以及与标准符合的
声明。
BDD 第 3 小组与 BS7799 国际用户组织(IUG)为了包括国际方面的要求特制订了本修订版。
此次指定是以来自不同国家的专家和组织的文献为基础,并由来自不同国家的专家和组织评
审和讨论这些文献。
三、BS7799-2:2002 与 ISO9001:2000 及 ISO14001:1996 的对比
ISO9001:2000、ISO14001:1996 与 BS7799-2:2002 章节间的对应关系
四、信息安全管理体系建立的重要环节--风险评估
组织实施 BS7799 的目的应该是按照先进的信息安全管理标准建立完整的信息安全管
理体系(ISMS)并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主
的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连
续性。
BS7799-2:2002 标准条款 策划过程要求组织建立信息安全管理体系应该(Shall)定义
风险评估的系统性方法、识别风险、进行风险评估、识别并评价风险处理的方法、为风险的
处理选择控制目标与控制方式。作为体系的策划过程,风险评估方法的科学性、系统性以及
其评估结果的质量很大程度上决定了 ISMS 的成功建立,及它对组织的价值。
1 风险评估的基本概念
与风险评估有关的概念
威胁(Threat):是指可能对资产或组织造成损害的事故的潜在原因。
薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。
风险(Risk):特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在
可能性,即特定威胁事件发生的可能性与后果的结合。
风险评估 (Risk assessment):对信息和信息处理设施的威胁(threat)、影响(impact)和薄弱
点(vulnerability)及三者发生的可能性的评估。
与风险管理有关的概念
风险管理 (Risk management):以可接受的费用识别、控制、降低或消除可能影响信息
系统的安全风险的过程。风险管理是一个识别、控制、降低或消除安全风险的活动,通过风
险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进
行控制,使风险被避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用
与风险之间的平衡。
安全控制(Security control):降低安全风险的惯例,程序或机制。
剩余风险(Residual risk ):实施安全控制后,剩余的安全风险。
2 风险评估基本步骤
风险评估可以明确安全需求及确定切实可行的控制措施,全面系统的风险评估是实施有
效的风险管理的基础,风险评估应考虑的因素包括:
* 信息资产及其价值;
* 对这些资产的威胁,以及它们发生的可能性;
* 薄弱点;
* 在适当的地方由控制所提供的保护;
风险评估的基本步骤为:
* 按照组织商务运作流程进行资产识别,并根据估价原则对资产进行估价;
* 根据资产所处的环境进行威胁识别与评价;
* 对应每一威胁,对资产或组织存在的薄弱点进行识别与评价;
* 对已采取的安全控制进行确认;
* 建立风险测量的方法及风险等级评价原则,确定风险的大小与等级。
3 风险评估与管理方法
在风险评估和风险管理方法被应用的过程中,评估时间、力度、以及具体开展的深度应
与组织的环境和安全要求相称。例如,如果组织和它的资产大多数只需要一个低等到中等的
安全要求,基本的风险评估方法就足够了。如果安全要求更高,要求更具体的和专业的处理,
那么就必须用一个具体的风险评估方法。
基本的风险评估
基本的风险评估是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其商
业环境的所有要求。这种方法适用于商业运作不是非常复杂的组织,并且组织对信息处理和
网络的依赖程度不高。
这个方法包括对组织所考虑的信息和财产安全要求的一个系统的评估,识别那些令人满
意的控制目标和满足这些目标的一系列控制的选择。
基本风险评估方法有许多优点,例如:
* 风险评估所需资源最少,简便易实施。
* 同样或类似的控制能被许多信息安全管理体系所采用,不需要耗费很大的精力。如果一个
组织的多个信息安全管理体系在相同的环境里运作,并且商业要求类似,这些控制可以提供
一个花费有效的解决方案。
这个方法的缺点:
* 如果安全水平被设置的太高,就可能需要过多的费用或控制过度;如果水平太低,对一些
组织来讲,可能不会得到充分的安全;
* 管理安全相关的改变可能有困难。例如,如果一个信息安全管理体系被升级,评估最初的
控制是否仍然充分就有一定困难。
具体的风险评估
这个方法包括资产的具体识别和估价,以及那些对资产的威胁和相关弱点水平的评估,
上述结果被用于评估风险并随后被用于安全控制的识别和选择。 通过识别资产的风险并将
风险降低到可接受水平,来证明管理者所采用的安全控制是适当的。
具体的风险评估可能是非常耗费财力的彻底的过程,因此需要非常细致地制定被评估的
信息系统范围内的商务环境、运作、信息和资产的边界。它也是一个需要管理者持续关注的
方法。
这一方法是将安全风险作为资产、威胁及薄弱点的函数来进行识别与评估。根据被评估
的风险,能够从有关安全管理标准中选择安全控制。整个方法不同于上面的基本风险评估方
法, 因为需要对资产、威胁和薄弱点进行更为具体的分析,且包括使用:对资产(说明它们
的价值,商业重要性)、威胁(说明它们的严重性)和薄弱点(说明有关它们的弱点和敏感
性的程度或测量)进行测量与赋值;使用风险评估定义的风险测量方法完成风险测量。
具体风险评估的优点:一是获得一个更精确的安全风险的认识,从而更为精确地识别反
映组织安全要求的安全水平;另一方面,可以从具体的风险评估中获得的额外信息使与组织
更改相关的安全管理受益。这个方法的缺点是:它要花费相当的时间、精力和技术去获得可
行的结果。
联合评估方法
此方法首先使用基本的风险评估方法识别信息安全管理体系范围内具有潜在的高风险
或对商业运作来说极为关键的资产。根据基本的风险评估的结果,将信息安全管理体系范围
内的资产分成两类,一类需要应用一个具体的风险评估方法以达到适当保护,另一类通过基
本的评估方法选择的控制就足矣。这个方法将基本和具体风险评估方法优点结合起来,即节
省评估所花费的时间与精力,又能确保获得一个全面系统的评估结果,而且,组织的资源与
资金能够被应用在最能发挥作用的地方,具有高风险的信息系统能够被预先关注。这个方法
的缺点:如果在高风险内的信息系统的识别不正确,那么它可能导致错误的结果。
4 风险评估/管理方法的选择需要考虑的因素
组织可采取不同的风险评估和风险管理方法,一个方法是否适合于特定组织有很多影响
因素,包括:
* 商务环境;
* 商务性质和重要性;
* 对支持组织商务的信息系统的技术性和非技术性的依赖;
* 商务及其支持系统、应用软件和服务的复杂性;
* 商业伙伴和外部业务以及合同关系的数量。
作为一个通用的经验规则,信息安全对组织及其商务越重要,一旦遭受威胁损害,损失
就越多;这就需要对安全投入更多的时间和资源。
本文仅仅向读者介绍了 BS7799-2:2002 标准的框架及建立信息安全管理体系的重点--风
险评估的基本知识,由于新版标准刚刚发布,笔者对于标准的理解还有待加深,也希望各位
读者对于本文的不当之处给予批评指正。
E-mail:sd@