BS7799与等级保护系列标准对比研究.pdfVIP

图书馆理论与实践 综合评述 ●王艳玮，王闪闪(陕西师范大学国际商学院；西安710062) BS7799与等级保护系列标准对比研究 [关键词]BS7799；等级保护；对比其内容也增加到11个方面的133项控制措施。 研究 [摘要]信息安全是国家安全的重 求和规范，指导相关人员如何去应用BS7799一l。 要组成部分。受到高度重视。信息安全系 列标准的采纳和制定是国家保障信息系统 行、监视、评审、保持和改进ISMS的总要求及相关 安全的有效手段。通过对BS7799和等级保 文件要求，并规定了在这个过程中的管理职责和管理 护系列标准进行对比研究，从标准涉及的 评审要求。 内容、发展历程、实施流程、涵盖范围、实 1．2等级保护系列标准 施对象及应用现状等五个方面分析了两类 我国等级保护系列标准主要包括GBl7859—1999 标准的差异，提出了两类标准相互借鉴的 《计算机信息系统安全等级保护划分准则》及其配套 建议。 的定级指南、基本要求、实施指南、测评要求等标 [中图分类号]TP393．08 准。其中GBl7859是这一系列标准中的基础性标准， [文献标志码]A 该标准共包含5个安全等级，定义了不同等级信息系 [文章编号]1005—8214(2010)04—0034—03统的安全保护能力，从第一级至第五级对信息系统安 全保护能力的要求逐渐增强。等级保护基本要求标准 BS7799是颁布较早且在包括我国在内的世界范围主要规定了对不同等级信息系统的保护能力的要求， 内受到普遍关注和应用的信息安全管理标准。 分为技术和管理两个方面。等级保护定级指南主要介 BS7799—1…和BS7799—2[2]已经被国际标准化组织绍了定级原理、定级方法和等级变更的内容。等级保 ISO采纳，成为ISO／IEC27000系列信息安全标准族的护实施指南标准为等级保护的实施给出了详细的说明 主要标准之一。 和指导，包括从信息系统定级、总体安全规划、安全 r31 我国国家质量技术监督局发布的GBl7859—1999设计与实施、安全运行与维护到信息系统终止的每一 《计算机信息安全保护等级划分准则》，是建立安全 个过程。信息安全等级保护测评准则提出了为验证计 等级保护制度、实施安全等级管理的重要基础性国 算机信息系统是否满足信息安全等级保护必须执行的 测评工作要求，主要针对安全技术和安全管理各个层面 家标准。目前已发布GB22239、GB22240、GB20269、 GB20270、GB20271等配套标准十余个。 的安全控制分别提出了不同安全等级的测试评估要求。 2 本文对BS7799和等级保护系列标准进行对比研 BS7799与我国等级保护系列标准的比较研究 究，旨为等级保护系列标准的进一步完善提供建议。 本文主要从标准涉及的内容、发展历程、实施流 1 标准概述 程、涵盖范围、实施对象及综合应用现状等五个方面 1．1 B$7799 对两类标准进行比较研究。 StandardsInsfi— BS7799由英国标准协会(British 2．1发展历程 tute，BSI)于1995年颁布，分为两部分。BS7799—1BS7799是英国标准协会于1995年颁布的针对信 是信息安全管理实施细则，主要提供了信息安全最 息安全管理制定的一个标准。BS7799最初是由英国贸 佳实践的汇总集，最初从1