浅谈ISO17799《信息安全管理体系》标准的产生与应用.pdfVIP

— r— 一_是…一 一 标准的产生与应用 Discussion on Stipulation and Application of Standard IT Security Management System of IS01 7999 中国电子质量体系认证中心 张 宏 韩硕祥 一 、 信息安全标准产生的背景 摘 要 介绍了IS01 7799 信息安全管理体 20世纪80年代后，随着计算机互联网技术的飞速发 系 标准的背景、结构与组成；综述了国内发展状况， 展，网络日益普及，数字经济、知识经济、信息技术影响 并结合我国实际情况，论述了信息安全规范化的必要 着经济生活的方方面面，信息安全技术迫切需要加强。 性，以及在我国各行业的应用实施前景。 说到信息安全，首先应理解什／厶是信息。在IS09000 关键词 信息安全 IS01 7799管理体系 标准 标准中，信息的定义是“有意义的数据”；在ISO1 7799中， 信息的含义更确切、更具体：“信息是一种资产，像其他重 要的商务资产一样，对组织具有价值，因此需要妥善保 护。”“信息安全使信息避免一系列威胁，保障商务的连续 性，最大限度地减少商务损失，最大限度地获取投资和商 务投入的回报。… 信息可以以多种形式存在，能打印或写 在纸上、存储在电子媒体上，以电子文档方式传递，在胶 片上演示或在交谈时表达。无论信息以何种方式承载、何 种方式共享或存储，都必须适当加以保护。” “信息安全的维持表现有如下特征： a)机密性：确保信息仅让授权获取的人士访问； Information Technology矗Standardization b)完整性：保护信息和处理方法的准确和完善； 根据自己的实际情况进行设计、取舍，以达到对信息安全 c)可用性：确保授权用户需要时可以获取信息和相应 进行良好管理的目的。信息安全不仅仅是一个技术问题， 的资产。 更重要的是一个管理问题。建立和实施信息安全管理体系 信息安全通过执行一套适宜的控制方法来实现，控制 (I S M S)是保障组织、政府机构信息安全的重要手段。 方法可以是方针、惯例、程序、组织结构和软件功能。这 ISO1 7799包含了世界先进的信息安全方针，从安全方针的 些控制方式需要加以确定，以保障组织特定安全目标的实 拟定、安全责任的归属、风险的评估、到确定与强化安全 现。” 参数及存取控制，甚至包含防毒的策略，并提供了1 27种 为了解决网络与信息安全问题，最大限度地降低风险， 安全控制指南供用户选择和使用。信息安全管理是基于先 英国标准协会(BS0于1 995年2月提出了BS7799《信息安 进