• WAP手机版 RSS订阅 加入收藏  设为首页
BS7799认证

BS7799信息安全管理体系介绍

时间:2013-11-23 01:28:55  作者:镭朔CE认证部  来源:镭朔认证  查看:0  评论:0
内容摘要:  一、信息及信息安全   信息象其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。  信息可以以多种形式存在。它可以是打印或写在...

  一、信息及信息安全

   信息象其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。

  信息可以以多种形式存在。它可以是打印或写在纸上(如:书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手段传输;显示在胶片上;表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮,因为它有价值,应该得到妥善的保护。

   信息安全的维持可表征为:

  A、机密性:确保信息仅可让授权获取的人士访问;

  B、完整性:保护信息和处理方法的准确和完善;

  C、可用性:确保授权人需要时可以获取信息和相应的资产。

   信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。

  二、信息安全的重要性

   信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

   任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。

   目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。

   有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。

   至于应采取哪些控制方式则需要周密计划,并注意控制细节。信息安全管理需要组织中的所有雇员的参与,比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密,除物理控制外,还需要组织全体人员参与,加强控制。此外还需要供应商,顾客或股东的参与,需要组织以外的专家建议。

  三、信息安全管理体系标准

   1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。由于该标准采用建议和指导方式编写,因而不宜作为认证标准使用。

   1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准-- BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。

   1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1:1999和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998。新修订的1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。

   BS7799-1:1999和BS7799-2:1999是一对配套标准,BS7799-1:1999为如何建立和实施符合BS7799-2:1999标准要求的信息安全管理体系提供了最佳的应用建议。

   令人鼓舞的是,2000年12月,BS7799-1:1999已经被ISO/IEC正式采纳成为国际标准 -- ISO/IEC 17799:2000《信息技术 ― 信息安全管理实施规则》,另外,BS7799-2:1999也即将于2002年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系规范》。

  四、建立信息安全管理体系(ISMS)对任何组织都具有重要意义

   任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:

  1. 缺少信息安全管理论坛,安全导向不明确,管理支持不明显;

  2. 缺少跨部门的信息安全协调机制;

  3. 保护特定资产以及完成特定安全过程的职责还不明确;

  4. 雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;

  5. 组织信息系统管理制度不够健全;

  6. 组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;

  7. 组织信息系统备份设备仍有欠缺;

  8. 组织信息系统安全防范技术投入欠缺;

  9. 软件知识产权保护欠缺;

  10. 计算机房、办公场所等物理防范措施欠缺;

  11. 档案、记录等缺少可靠贮存场所;

  12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划;

  …….等等

   通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明,任何组织都急需建立信息安全管理体系,以保障其技术和商业机密,保障信息的完整性和可用性,最终保持其生产、经营活动的连续性。

  五、信息安全管理体系建立和运行步骤

   BS7799-2:1999标准要求组织建立并保持一个文件化的信息安全管理体系,其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。

   信息安全管理体系建立和运行步骤:

  1、 制定信息安全方针;

  2、 明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来确定界限;

  3、 实施适宜的风险评估,识别资产所受到的威胁、薄弱环节和对组织的影响,并确定风险程度;

  4、 根据组织的信息安全方针和需要的保证程度来确定应实施管理的风险;

  5、 从BS7799-2的第四部分“控制细则”中选择适宜的控制目标和控制方式(从36个目标,127种控制方式中选择);控制目标和控制方式的选择可以参考BS7799-1:1999《 信息安全管理体系实施细则》标准,如果标准中没有的控制目标和控制方式,组织可以也应选择一些其它适宜的控制方式。

  6、 制定可用性声明,将控制目标和控制方式的选择和选择理由文件化,并注明未选择BS7799-2 :1999第四部分中的任何内容及其理由;

  7、 有效地实施选定的控制目标和控制方式;

  8、 进行内部审核和管理评审,保证体系的有效实施和持续适宜。

  六、中国质量认证中心BS7799-2:1999推行工作简介

   中国质量认证中心是目前国内唯一具有BS7799-2:1999建立与认证经历的机构,早在1999年末,CQC厦门评审中心就组织审核员和专业人员翻译了BS7799系列标准,并开展了国内最早的培训,2000初动员厦门人保推行BS7799-2:1999,并于2000年8月-10月对该企业实施了认证审核。

   2001年,中心又指派了一名经验丰富的高级工程师/主任审核员对BS7799-2信息安全管理体系(ISMS)的建立进行了深入的研究,全程参与广东某公司的信息安全管理体系的建立和认证工作,为开展组织的信息安全体系积累丰富的经验。

全国认证技术服务热线:400 628 5882
RASOO认证集团设有四大事业部,分别从事管理体系认证咨询、产品认证、工业产品检验、商品检验及航空航天检验等。
在体系认证方面RASOO认证业务范围涉及ISO9000、ISO/TS16949、VDA6.1(汽车行业)、VDA6.4 (汽车行业工装设备)、AS9100/9110/9120(航空航天)、IRIS(铁路行业)TL9000(通信行业)、ISO29000 (石油行业)、ISO20000/ISO27000(IT 安全)ISO22000、HACCP、BRC、Agri-confiance、EUROGAP(食品)、ISO14000、EMAS、Eco-Audit(生态管理)、IECQ-HSPM(有害物质分析)、FSC-COC (森林认证)、FAMI-QS (饲料)、OHSAS18000(职业健康与安全)、SA8000(社会责任)、EICC(电子行业社会责任)、TAPA ( 物流安全)、TickIT、EN46000、APQP100和200等30多个标准认证的咨询顾问服务。
在产品认证方面RASOO认证与美国(交通部)DOT,美国UL ,美国环保署(EPA), 德国TUV, SGS建立起战略联盟合作伙伴关系,为车辆类及其零部件, 通用发动机, 家用电器及零配件、电动工具、IT品、AV产品、零部件等厂家提供一条龙认证服务, 帮中小企业轻松解决认证这个难题。本试验室配备高精度检测设备,由著名认证机构资深工程师主持,可承接DOT, EPA, UL,EMARK, ETL/cETL,GS,CE(EMC,LVD)KEMA,SAA,等产品认证,目击实验,测试及整改服务 可直接进行CE、FCC、CCC、C-Tick、SAA、MEPS、ETL、UL、E-MARK、FDA、RoHS、REACH、VCCI、PSE等认证的全部测试,协助客户一次申请获得多国的认证证书。产品范围包括信息技术类、家电类、灯具类、电动工具类、广播电视音响类、工业、科学、医疗类,汽车电子、无线射频产品、机械设备、建材、家具、体育运动器械等。RASOO认证与国外多家公告机构形成紧密合作,成为他们在中国的代表机构,合作范围包括MD、LVD、EMC、CPD、PPE、MDD、PED、LIFT、HWBD等CE指令。公司凭借丰富的认证经验、强大的检测能力、专业的工程师队伍、优质贴心的服务、高效团结的工作团队,成立至今已经为上千家企业提供了优质的服务。是全球获得官署授信最多的认证技术服务机构。


标签:BS7799认证 
相关评论
版权所有:RASOOGROUP 1998-2014 All Rights Reserved
服务热线:0512-82101082 全国认证技术服务热线:400 628 5882 service@rasoogroup.com
中国产品认证 体系认证 产品检测认证技术服务平台 镭朔认证