第7讲IT治理信息安全管理标准理解与实施.doc

IT治理信息安全管理：标准、理解与实施 3.3 新版本BS 7799-2:2002的特点 新版本BS 7799-2:2002于2002年9月5日在英国发布。新版本同ISO 9001:2000 质量管理体系 和ISO 14001:1996（环境管理体系）等国际知名管理体系标准采用相同的风格，使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于： ·PDCA Plan-Do-Check-Act 的模型 ·基于PDCA模型的基于过程的方法 ·对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述 ·对ISMS持续过程改进的重要性 ·文档和记录方面更清楚的需求 ·风险评估和管理过程的改进 ·对新版本使用提供指南的附录 新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型，按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程，特别介绍了基于PDCA模型的过程管理方法，并在附录中为解释或采用新版标准提供了指南，如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下： 1. 计划（PLAN）:定义信息安全管理体系的范围，鉴别和评估业务风险 2. 实施 DO ：实施同意的风险治理活动以及适当的控制 3. 检查 CHECK ：监控控制的绩效，审查变化中环境的风险水平，执行内部信息安全管理体系审计 4. 改进 ACTION ：在信息安全管理体系过程方面实行改进，并对控制进行必要的改进，以满足环境的变化。 图2 PDCA模型应用与信息安全管理体系过程 新版标准较BS7799-2:1999没有引入任何新的审核和认证要求，新标准完全兼容依据BS 7799-2:1999建立、实施和保持的信息安全管理体系（ISMS）。新版标准没有增加任何控制目标和控制方式，所有的控制目标和控制方式都是来自ISO/IEC 17799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面，而且采用了不同的编号方式，将BS7799-2:1999和ISO/IEC 17799:2000结合起来了。