信息安全管理体系BS779923标准.docx
《信息安全管理体系BS779923标准.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系BS779923标准.docx(68页珍藏版)》请在冰豆网上搜索。
信息安全管理体系BS779923标准
BS7799-2:
2002
目录
0总则...............................................................................................................................2
0.1总则..........................................................................................................................2
0.2过程方法...................................................................................................................2
1范围.............................................................................................................................3
1.1概要..........................................................................................................................3
1.2应用..........................................................................................................................3
2引用标准.....................................................................................................................4
3名词..................................................................................................................4
4信息安全管理体系要求...................................................................................................5
4.1总则..........................................................................................................................5
4.2建立和管理ISMS......................................................................................................5
4.3文件要求...................................................................................................................7
5管理职责...........................................................................................................................8
5.1管理承诺....................................................................................................................8
5.2资源管理...................................................................................................................8
6信息安全管理体系的管理评审.....................................................................................8
6.1总则..........................................................................................................................8
6.2评审输入...................................................................................................................9
6.3评审输出...................................................................................................................9
6.4内部信息安全管理体系审核.......................................................................................9
7ISMS改进.....改进...............................................................................................................10
7.1持续改进.................................................................................................................10
7.2纠正措施.................................................................................................................10
7.3预防措施.................................................................................................................10
附录A(引用)控制目标和控制措施..............................................................................11
附录B(情报性的)标准使用指南.................................................................................25
附录C(情报性的)ISO9001:
2000¡ISO14001与BS7799-2:
2002条款对照..........31
0介绍
0.1总则
本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系
(ISMS)模型。
采用ISMS应是一个组织的战略决定。
一个组织的ISMS的设计和实施受业务需
要和业务目标、产生的安全需求、采用的过程及组织的大小和结构的影响。
上述因素和他们的支
持过程预计会随事件变化而变化。
希望简单的情况是用简单的ISMS解决方案。
本标准可以由内部、外部包括认证组织使用,审核一个组织是否符合其本身的需要及客户和法
律的要求。
0.2过程方法
本标准推荐采用过程的方法开发、实施和改进一个组织的ISMS的有效性。
一个组织必须识别和管理许多活动使其有效地运行。
一个活动使用资源和在管理状态下使其
能够把输入转换为输出,这可以被认为是一个过程。
经常地,一个过程的输出直接形成了下一个
过程的输入。
在一个组织中应用一个过程的体系,并识别这些过程、过程间的相互作用及过程的管理,可
以叫做过程的方法。
过程的方法鼓励使用者强调以下重要性:
a)理解信息安全需求和建立信息安全方针和目标的需要;
b)在全面管理组织业务风险的环境下实施和运作控制措施;
c)监控和评审ISMS的有效性和绩效;
d)在客观评价的基础上持续改进。
本标准采用的,适用于ISMS的模型,如图一所示。
图一显示ISMS怎样考虑输入利益相关
方的信息安全需求和期望,通过必要的行动产生信息安全结果(即:
管理的信息安全),此结果满
足这些需要和期望。
一个需求的例子可能是信息安全事故不要对组织引起财务损失或引起高层主
管的尴尬。
一个期望的例子可能是如果严重的事故发生——也许组织的电子商务网站被黑客入侵
——将有被培训过的员工通过使用的程序减小其影响。
这显示了本标准在第四部分至第七部分的
联系。
本模型就是众所周知的“Plan-Do-Check-Act”(PDCA)模型,本模型可以用于所有的过
程。
PACA模型可以简单地描述如下图:
图一:
应用于ISMS过程的PDCA模型
计划(建立ISMS)建立与管理风险和改进信息安全有关的安全方针、目标、目的、过
程和程序,以达到与组织整体方针和目标相适应的结果。
实施(实施和运作ISMS)实施和运作信息安全方针、控制措施、过程和程序。
检查(监控和评审ISMS)针对安全方针、目标和实践经验等评审和(如果使用)测量过程的
绩效并向管理层报告结果共评审
改进(维护和改进ISMS)在管理评审的结果的基础上,采取纠正和预防行动以持续改进
ISMS。
0.3与其他管理体系标准的兼容性
本标准与ISO9001:
2000与ISO14001:
1996相结合以支持实施和运作安全体系的一致性和整合。
在附件C中的表格显示BS7799,ISO9001,ISO14001各部分不同语
句间的对应关系。
本标准使组织能够联合或整合其ISMS及相关管理体系的要求。
表
表一
1范围
1.1概要
本标准规范在组织整个业务风险的环境下建立、实施、维护和改进一个文件化的ISMS模型。
它规范了制定实施安全控制措施的方法以适应不同组织或相关方的需求。
(见附件B,提供了使用
该规范的指南)。
ISMS保证足够的和性价比高的安全控制措施以充分保护信息资产并给与客户和其他利益相
关方信心。
这将增强竞争优势、扩大现金流、提高组织赢利能力、法律符合及赢得良好的商务形
象。
1.2应用
本标准提出的要求使一般性的并试图用于所有的组织,不管其类型、大小和业务性质。
当由
于组织的性质和业务使本标准中的某些要求不能使用,可以考虑删减。
除非删减不影响组织的能力,或符合由风险评估和适用的法律确定的信息安全要求,否则不
PDCA模型应用与信息安全管理体系过程
相关单位
信息
安全需求
和期望
相关单位
管理状态
下的信息
安全
建立ISMS
实施和
运作ISMS
维护和
改进ISMS
监控和
评审ISMS
计划PLAN
开发、维护
和改进循环
检查CHECK
实施
DO
改进
ACTION
能声称符合本标准。
任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据,证明
相关风险被负责人员正当地接受。
对于删减条款4,5,6,和7的要求不能接受。
2引用标准
ISO9001:
2000质量管理体系-要求
ISO/IEC17799:
2000信息技术—信息安全管理实践指南
ISO指南73:
2001风险管理指南-名词
3名词和定义
从本英国标准的目的出发,以下名词和定义适用。
3.1可用性
保证被授权的使用者需要时能够访问信息及相关资产。
[BSISO/IEC17799:
2000]
3.2保密性
保证信息只被授权的人访问。
[BSISO/IEC17799:
2000]
3.3信息安全
安全保护信息的保密性、完整性和可用性
3.4信息安全管理体系(ISMS)
是整个管理体系的一部分,建立在业务风险的方法上,以开发、实施、完成、评审和维护
信息安全。
注意:
管理体系包括组织的结构、方针、计划、活动、责任、实践、程序、过程和资源。
3.5完整性
保护信息和处理过程的准确和完整。
[BSISO/IEC17799:
2000]
3.6风险接受
接受一个风险的决定[ISOGuide73]
3.7风险分析
系统化地使用信息识别来源和估计风险[ISOGuide73]
3.8风险评估
风险分析和风险评价的整个过程[ISOGuide73]
3.9风险评价
比较估计风险与给出的风险标准,确定风险严重性的过程。
[ISOGuide73]
3.10风险管理
指导和控制组织风险的联合行动
3.11风险处理
选择和实施措施以更改风险的处理过程[ISOGuide73]
3.12适用性声明
描述适用于组织的ISMS范围的控制目标和控制措施。
这些控制目标和控制措施是建立在风
险评估和处理过程的结论和结果基础上。
4信息安全管理体系要求
4.1总则
组织应在组织整体业务活动和风险的环境下开发、实施、维护和持续改进文件化的ISMS。
对于该标准的目的,使用的过程是建立在图一所示的PDCA模型基础上。
4.2建立和管理ISMS
4.2.1建立ISMS
组织应:
a)应用业务的性质、组织、资产和技术定义ISMS的范围。
b)应用组织的业务性质、组织、资产和技术定义ISMS的方针,方针应:
1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。
2)考虑业务及法律或法规的要求,及合同的安全义务。
3)建立组织战略和风险管理的环境,在这种环境下,建立和维护信息安全管理
体系。
4)建立风险评价的标准和风险评估定义的结构。
[见4.2.1c]
5)经管理层批准
c)定义风险评估的系统化的方法
识别适用于ISMS及已识别的信息安全、法律和法规要求的风险评估方法。
为
ISMS建立方针和目标以降低风险至可接受的水平。
确定接受风险的标准和识别
可接受风险的水平[见5.1f]
d)定义风险:
1)在ISMS的范围内,识别资产及其责任人
2)识别对这些资产的威胁
3)识别可能被威胁利用的脆弱性
4)识别资产失去保密性、完整性和可用性的影响
e)评估风险
1)评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整性和可用
性的潜在后果;
2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的
可能性和现存的控制措施;
3)估计风险的等级
4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理;
f)识别和评价供处理风险的可选措施:
可能的行动包括:
1)使用合适的控制措施
2)知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和接受风险
的标准[见4.2.1c]
3)避免风险;
4)转移相关业务风险到其他方面如:
保险业,供应商等。
6
g)选择控制目标和控制措施处理风险:
应从本标准附件A中选择合适的控制目标和控制措施,选择应该根据风险评估
和风险处理过程的结果调整。
注意:
附件A中列出的控制目标和控制措施,作为本标准的一部分,并不是所
有的控制目标和措施,组织可能选择附加的控制措施
h)准备一份适用性声明。
从上面4.2.1(g)选择的控制目标和控制措施以及被选择的
原因应在适用性声明中文件化。
从附件A中剪裁的控制措施也应加以记录;
i)提议的残余风险应获得管理层批准并授权实施和运作ISMS。
4.2.2实施和运作ISMS
组织应:
a)识别合适的管理行动和确定管理信息安全风险的优先顺序(即:
风险处理计划)
-[见条款5];
b)实施风险处理计划以达到识别的控制目标,包括对资金的考虑和落实安全角色
和责任。
c)实施在4.2.1(g)选择的控制目标和控制措施
d)培训和意识[见5.2.2];
e)管理运作过程;
f)管理资源[见5.2];
g)实施程序和其他有能力随时探测和回应安全事故。
4.2.3监控和评审ISMS
组织应:
a)执行监控程序和其他控制措施,以:
1)侦测处理结果中的错误;
2)及时识别失败的和成功的安全破坏事故;
3)能够使管理层决定已分派给员工的或通过信息技术实施的安全活动是
否达到了预期的目标;
4)确定解决安全破坏的行动是否反映了业务的优先级。
b)进行常规的ISMS有效性的评审(包括符合安全方针和目标,及安全控制措施
的评审)考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈;
c)评审残余风险和可接受风险的水平,考虑以下变化:
1)组织
2)技术
3)业务目标和过程
4)识别威胁
5)外部事件,如:
法律、法规的环境发生变化或社会环境发生变化。
d)在计划的时间段内实施内部ISMS审核。
e)经常进行ISMS管理评审(至少每年评审一个周期)以保证信息安全管理体系
的范围仍然足够,在ISMS过程中的改进措施已被识别(见条款6ISMS的管理
评审);
f)记录所采取的行动,和能够影响ISMS的有效性或绩效的事件[见4.3.4]。
4.2.4维护和改进ISMS
组织应经常:
a)实施以识别的对于ISMS的改进措施
7
b)采取合适的纠正和预防行动[见7.2和7.3].应用从其它组织的安全经验和组织内
学到的知识。
c)沟通结果和行动并得到所有参与相关方的同意。
d)确保改进行动达到了预期的目标。
4.3文件要求
4.3.1总则
ISMS文件应包括:
a)文件化的安全方针文件和控制目标;
b)ISMS范围[见4.2.1]和程序及支持ISMS的控制措施
c)风险评估报告[见4.2.1];
d)风险处理计划[见4.2.2];
e)组织需要的文件化程序以确保有效计划运营和对信息安全过程的控制[见6.1]
f)本标准要求的记录[见4.3.4];
g)适用性声明
注1:
当本标准中出现“文件化的程序”,这意味着建立、文件化、实施和维护该程序。
注2:
SeeISO9001
注3:
文件和记录可以用多种形式和不同媒体。
4.3.2文件控制
ISMS要求的文件应保护和控制。
应建立文件化的程序确定管理所需的文件:
a)文件发布须得到批准,以确保文件的充分性;
b)必要时对文件进行审批与更新,并再次批准;
c)确保文件的更改和现行修订状态得到识别;
d)确保在使用处可获得适用文件的有关版本;
e)确保文件保持清晰、易于识别;
f)确保外来文件得到识别,并控制其分发;
g)确保文件的发放在控制状态下;
h)防止作废文件的非预期使用;
i)若因任何原因而保留作废文件时,对这些文件进行适当的标识。
4.3.3记录控制
应建立并保持纪录,以提供符合要求和信息安全管理体系的有效运行的证据。
记录应当被
控制。
信息安全管理体系应考虑任何有关的法律要求。
记录应保持清晰、易于识别和检索。
应
编制形成文件的程序,以规定记录的储存、保护、检索、保存期限和处置所需的控制。
一个管理
过程将确定记录的程度。
应保留4.2概要的过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。
举例
记录的例子如:
访问者的签名簿,审核记录和授权访问记录。
5管理职责
5.1管理承诺
管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据,
包括:
a)建立信息安全方针;
b)确保建立信息安全目标和计划;
c)为信息安全确立角色和责任;
d)向组织传达信息安全目标和符合信息安全方针的重要性、在法律条件下组织的
责任及持续改进的需要。
e)提供足够的资源以开发、实施,运行和维护信息安全管理体系[见5.2.1];
f)确定可接受风险的水平;
g)进行信息安全管理体系的评审[见条款6]。
5.2资源管理
5.2.1提供资源
组织将确定和提供所需的资源,以:
a)建立、实施、运行和维护信息安全管理体系;
b)确保信息安全程序支持业务要求;
c)识别和强调法律和法规要求及合同安全的义务;
d)正确地应用所有实施的控制措施以维护足够的安全;
e)必要时,进行评审,并适当回应这些评审的结果;
f)需要时,改进信息安全管理体系的有效性。
5.2.2培训,意识和能力
组织应确保所有被分配信息安全管理体系职责的人员具有履行要求的任务能力。
组织应:
a)确定从事影响信息安全管理体系的人员所必要的能力;
b)提供能力培训,必要时,聘用有能力的人员满足这些需求;
c)评价提供的培训和所采取行动的有效性;
d)保持教育、培训、技能、经验和资格的纪录[见4.3.3]
组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们满足信息安全
管理目标所需要采取的活动。
6信息安全管理体系的管理评审
6.1总则
管理层应按规定的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性
和有效性。
评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全
目标。
评审的结果因清楚地文件化,应保持管理评审的纪录[见4.3.3]
6.2评审输入
管理评审的输入应包括以下方面的信息:
a)信息安全管理体系审核和评审的结果;
b)相关方的反馈;
c)可以用于组织改进其信息安全管理体系业绩和有效性的技术,产品或程序;
d)预防和纠正措施的状况;
e)以前风险评估没有足够强调的脆弱点或威胁;
f)以往管理评审的跟踪措施;
g)任何可能影响信息安全管理体系的变更;
h)改进的建议。
6.3评审输出
管理评审的输出应包括以下方面有关的任何决定和措施:
a)信息安全管理体系有效性的改进;
b)修改影响信息安全的程序,必要时,以回应内部或外部可能影响信息安全管理体系的事件,
包括以下的变更:
1)业务要求;
2)安全要求;
3)业务过程影响现存的业务要求;
4)法规或法律环境;
5)风险的等级和/或可接受风险的水平;
6)资源需求。
6.4内部信息安全管理体系审核
组织应按规定的时间间隔进行内部信息安全管理体系审核,以确定信息安全管理体系的控制
目标、控制措施、过程和程序是否:
a)符合本标准和相关法律法规的要求;
b)符合识别的信息安全要求;
c)被有效地实施和维护;
d)达到预想的业绩。
任何审核活动应进行规划,规划应考虑过程的状况和重要性,
升级会员 