BS7799认证产生的背景

BS7799认证开展的现状

BS7799发展现状和适用范围

BS7799认证产生的背景

BS 7799(ISO/IEC17799):即国际信息安全管理标准体系,2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由十个独立的部分组成,每一节都覆盖了不同的主题和区域。

由英国标准协会(BSI)编写的信息安全管理体系标准BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏,要从机构或企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使机构或企业的信息安全以最小代价达到需要的水准。保护信息安全,建立信息安全管理体系是机构或企业营运的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的参考依据,它以“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”模式,将管理体系规范导入机构或企业内,以达到“持续改进”的目的。

随着在世界范围内信息化水平的不断发展和贸易全球一体化的不断普及和深入,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分;在很多的场合,它已经成为一个组织生死存亡或贸易亏盈成败的起决定性的因素,因此信息安全逐渐成为人们关注的焦点。世界范围内的各国家、机构、组织、个人都在探寻如何保障信息安全的问题,各相关部门和研究机构也纷纷投入相当的人力、物力和资金试图来解决信息安全问题。

在组织的决策者想方设法保障本组织的信息安全的同时,破坏方总能道高一尺,魔高一丈,数不胜数的计算机病毒、防不胜防的电脑黑客、各类层出不穷的泄密事故就是明证。就拿我国来说,近年来也接连不断地出现了程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。

安全是一种"买不到"的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的,因此,一些企业虽然安装了一些安全产品,但并不等于拥有了一个真正的安全体系。而且相关调查数据显示,超过75%的信息系统泄密和恶意攻击事件都是人为造成的,即由于信息安全管理的缺位而造成的。而技术本身实际上只是信息安全体系里的一小部分。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。大部分的信息安全管理专家认为技术并不是不重要,但在信息安全的架构里,它一定要在好的信息安全管理的基础上,所以在业界素有三分技术,七分管理的说法。

正是在这样的世界大环境和学术界共同认同的原则下,各国的研究机构都纷纷研究和制定信息安全管理、风险评估、信息安全技术的标准,而英国标准化协会(BSI),这个在全世界标准界负有盛名的机构,在成功地为ISO9000、ISO14000、OHSAS18000等世界著名的标准打好基础后,又一次在信息安全管理领域拔得头筹,其制定的BS7799信息安全管理标准又一次成为国际上最具权威的和最具代表性的标准。

早在1995年2月,英国标准协会(BSI)就提出制定信息安全管理标准,并迅速于1995年5月制订完成,且于1999年重新修改了该标准。BS7799分为两个部分:BS7799-1,《信息安全管理实施规则》;BS7799-2《信息安全管理体系规范》;其中BS7799-1:1999于2000年12月通过ISO/IECJTC1(国际标准化组织和国际电工委员会的联合技术委员会)认可,正式成为国际标准,即ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。而在2002年9月5日英国标准化协会又发布了新版本BS7799-2:2002替代了BS7799-2:1999。

BS7799认证开展的现状

尽管ISO/IEC 17799是在很多国家的反对声中被采纳的,BS7799-1在转换成ISO/IEC 17799的过程中受到了包括美国等很多发达国家的反对;尽管国际信息安全界对ISO/IEC 17799的争议很多,而且目前已经有几个国家指出,ISO/IEC 17799的某些部分与其国家法律存在着冲突,尤其是在隐私领域,但其普及和推广已是势不可当,到目前为止已有二十多个国家引用BS7799-2作为国标,BS7799(ISO/IEC 17799)也是卖出拷贝最多的管理标准,越来越多的信息安全公司都以BS7799作指导为客户提供信息安全咨询服务。而且令人高兴的是ISO/IEC 17799不久它就会出新版本。截至目前全球已有41个国家和地区的878个组织获得了BS7799-2的认证,其中日本最多408家,英国其次157家,中国有49家,其中大陆9家,台湾25家,香港15家。全球已获得BS7799-2认证资格的认证机构有26个,认可机构有3个,分别为欧洲认可联盟(EA),国际认可联盟(IAF)以及英国的UKAS;目前我国还没有获得国际认可的认证机构。

信息安全管理体系的认证审核与环境、职业健康安全管理体系的审核类似,分两个阶段,多数认证机构在第三年需要进行重新审核,但BSI不需要。

BSI没有向ISO/IECJTC1提交BS7799-2,目前也没有迹象表明BSI是否会在将来提交。ISO/IECJTC1也还没有计划去制定ISO/IEC 17799-2。在类似于ISO/IEC 17799-2的标准被ISO/IECJTC1接受以前,不可能有“官方”的ISO/IEC 17799认证项目。

BS7799-2信息安全管理体系(ISMS)审核员的注册由国际注册审核员协会(IRCA)进行,分四个等级,分别为实习审核员、审核员、主任审核员、首席审核员;其中首席审核员分为两种,一种为咨询师,一种为组长。

BS7799发展现状和适用范围

目前，已有20多个国家引用BS 7799-2作为国标，BS 7799（ISO/IEC17799）也是卖出拷贝最多的管理标准，其在欧洲的证书发放量已经超过ISO9001.并有41 个国家和地区开展了此项业务， 我国的台湾和香港地区也已经采用并推广了BS7799 标准。在台湾，BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则被引用为CNS 17800.在中国大陆， BS7799 标准全面解析（ISMG-005）的国标化一直是个热点议题，而相关的ISMS 认证工作正在试点运行。 BS7799标准从正式发布到现在的十年时间里，全球接受并且按照BS7799 最佳实践来实施ISMS 的组织达到了近10 万家，其中很多都是国际上知名的企业，例如富士通、KPMG、Insight、三星电子、东芝、索尼、Symantec 等。根据ISO/IEC 17799（BS 7799）国际使用者协会的最新统计，到2005年4月，全球通过信息安全管理体系BS 7799-2认证的组织已经超过1200家。证书主要集中在日本、英国、印度、台湾。证书的行业分布主要在政府、金融、通信、电子、物流等行业。 信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等的企业。