谁都知道安全保障在于“三分技术,七分管理”。
但在管理上,我们除了获得一些经验性的忠告外,
是否有一套切实可行的安全管理标准呢?
黑客攻击、密码窃取、病毒侵入、网页篡改……不论你面对的是何种安全问题,与你在暗中较量的绝不是什么毫无生命的恶意编码,而是那些居心叵测的IT高手。信息安全这种与人之间的较量使其不是有了防火墙、IDS或找一个24小时提供信息安全服务的公司就可以解决的。技术手段可以保护信息安全,反过来问,有了技术手段,信息安全就一定能保障吗?
管理成为安全瓶颈
其实,保障信息安全有三大支柱:技术、管理、法律法规。然而,我们日常提及信息安全时,多是在技术相关的领域,于是信息安全防护类产品开始层出不穷,从防病毒、防火墙、入侵检测、加密技术、CA认证等单一的产品,又逐步发展到各式各样的全面安全解决方案。而国家的法律法规,有专门的部门在制定和推广,那么谁来关注管理对信息安全的保障呢?有数据显示,全球每年由于安全事件的损失高达数百亿美元,而这些安全事件中,其实有七成以上是由合法用户造成的,由于管理缺乏所致的比例高达70%。对于技术控制能力之外的灰色区域,如何来补充和保障信息安全呢?正所谓“三分技术,七分管理”。管理与技术需要相辅相成,在技术之外要靠管理、靠流程、靠意识来保障业务、保障安全。目前的状况是,安全管理已经成为实现信息安全的一大瓶颈。虽然我们经常看到这样或那样的经验性忠告或初步的框架条文,但却没有相关的权威性安全管理标准。
BSI标准规范安全管理
信息安全恰恰需要全面的综合管理与权威的信息安全管理体系,来协调各个方面信息管理,管理更为有效。根据国务院27号文件,对信息安全实施分级安全保护的规定出台后,各有关部门都在积极制定相关的制度和法规,当前被普遍采用的技术标准是CC/ISO15408,管理体系标准是ISO 17799/BS 7799。而由BSI(英国标准协会)制订的BS7799从10个领域来关注信息安全的保障,共提供36个控制目标和127个控制措施,将一些经验性的内容发展成为严谨可以量化考量的一套标准体系。BSI中国区战略发展总监陈二乐表示,BS7799已经成为技术保障之上的普遍认同的管理体系标准,并逐渐作为ISO国际标准的发展基础。而BSI制订并成为国际标准在全球广泛采纳并被业界熟知的就包括ISO 9000质量管理标准和ISO 14001环境管理标准。
据悉,BS7799是一套基于实践成功的信息安全管理体系方法,共分两部分,第一部分已经在2000年被采纳并发展成为ISO17799,它是信息安全管理实践指南;第二部分BS7799-2,是信息安全管理体系规范。换言之,第一部分提供了体系实践的方向,第二部分则告诉我们体系实践的方法。BS7799汇集了全球优秀企业的优秀实践,它以风险评估为基础,提供自上而下的管理方法,从组织、人员、流程、技术到法律法规、有续经营等全方位实施的管理体系。陈二乐进一步解释说,BS7799-2可以提供认证服务,在实施了一套信息安全管理体系之后,可以借由第三方独立认证,向社会、公众、客户证实所实施体系的有效性和效果,提供信心保障。
BS 7799可以帮助企业识别、管理和减少信息通常所面临的各种威胁。 它包括更为细致的多达127个控制点,帮助企业系统地找到管理上的差距。它包括十大管理方向:安全方针,为信息安全提供管理指导和支持;安全组织,在公司内管理信息安全;资产分类与管理,对公司的信息资产采取适当的保护措施。人员安全,减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险;实体和环境安全,防止对商业场所及信息未经授权的访问、损坏及干扰;通讯与运作管理,确保信息处理设施正确和安全运行;访问控制,管理对信息的访问;系统的建立和维护,确保将安全纳入信息系统;商业活动连续性管理,防止商业活动的中断,并保护关键的业务过程免受重大故障或灾难的影响;符合法律,避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。
BSI在中国
BSI从2002年BS7799标准新版修订以来,就一直在国内推广包括信息安全在内的各种管理体系的认证和培训服务。据陈二乐介绍,当前全球已经颁发了超过1000张BS7799证书,并且这个数字还在不断增长中。获得证书的企业主要集中在日本、英国、印度等地区的政府和金融、通信、电子、物流等行业,而这其中有超过一半的证书,是由BSI英国标准协会颁发的。目前中国已发出BS7799证书11张,BSI也正与冠群金辰等厂商合作推动中国信息安全的规范化管理。
