标准特点
1. 注重体系的完整性,是一套科学的信息安全管理体系
2.以风险评估为基础
3.强调对法律法规的符合性
4. 广泛适用于各类组织
5.与ISO9000标准有很强的兼容性
认证好处
1. 保护企业的知识产权、商标、竞争优势
2.维护企业的声誉捆坑背、品牌和客户信任
3.减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失
4. 强化员工的信息安全意识,规范组织信息安全行为
5. 在信息系统受到侵袭时,确保业务持续开展并将损失降到低一点程度
适用范围
BS7799-2 从1998年颁布后,在全世界范围内得到广泛的认可。已有40多个国家和地区开展信息安全管理体系的认证。根据ISO/IEC 17799(BS 7799)国际使用者协会的统计,到2005年4月,全球通过信息安全管理体系BS 7799-2认证的组织已经超过1200家。
信息安全对每个企业或组织来说都是需要的,所以信息安全巴想章管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
实施步骤
(1)系统规划
系统规划主要是明确信息安全管理的目标、范围和政策,并收集和公司信息安全相关的数据、文件。系统规划阶段应该由一个跨部门的「信息安全委员会」来负责,并且拥有管理阶层的支持。
(2)风险评估
ISMS的目标是透过系统的安全风险评估确定安全需求,并对实施控制措施的支出与安全事故可能造成的商业损失进行权衡考虑;透过风险评估可以了解风险的权重和等级,以供建立安全控制机制的参考。风险评估的过程包括:
*资产清查、分类与评价
*威胁与脆弱性分析
*对业务需求、法规需求的评估
*评估风险等级
*评估可接受之风险等级
*建议安全控制措施
风险评估的总结报告应该呈现给「信息安全委员会」来评估处理风险的策略(移转、避免、降低或接受),以及决定开始用的工具和办法。
(3)风险管理
公司必须就企业需求和法令规章决定可接受风险之临界等级,并应该依照所决定的风险管理策略规划和建立控制机制。控制方法可参考BS 7799 - 2 的建议。风险管理的重点在于建立一套循环不断的Plan-Do-Check-Action 机制,藉由不断的审核、重新规划,加强让公司内的安全等级不断提升。
(4)颁行推广
ISMS 是一套不限于IT技术的管理系统,它就像是ISO9001一样需要全公司员工身体力行方能奏效。在实施的过程中,需要经营管理阶层的认知与全力支持,以及 全体员工的共识和配合。教育训练和不断的实施活动是必要的,尤其需要定期审核和检查,以确保系统可以持续不断的执行。
相关信息安全主要的认证有四种:
中国信息安全产品测评认证中心的认证(针对企业应用)、国家保密局测评认证中心的认证(针对政府涉密网应用)、公安部计算机信息安全产品质量监督检验中心(获得销售许可)以及中国人民解放军信息安全测评认证中心(针对军队使用)。
