IT治理信息安全管理：标准、理解与实施（三）

发布时间：2004年11月19日点击数： 作者：孙强 郝晓玲 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

4 BS 7799的简单评价

BS 7799提供了一个组织进行有效安全管理的公共基础，反映了信息安全的"三分技术，七分管理"的原则。它全面涵盖了信息系统日常安全管理方面的内容，提供了一个可持续提高的信息安全管理环境。包括安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理制度易于理解，一般的单位都可以制定，具有可操作性，推广信息安全管理标准的关键在于重视程度和制度落实方面。

BS 7799是对一个组织进行全面信息安全评估的基础，可以作为组织实施信息安全管理的一项体制。它规定了建立、实施信息安全管理体系的文档，以及如何根据组织的需要进行安全控制，可以作为一个非正式认证方案的基础。

然而，BS 7799仅仅提供一些原则性的建议，如何将这些原则性的建议与各个组织单位自身的实际情况相结合，构架起符合组织自身状况的ISMS，才是真正具有挑战性的工作。BS 7799在标准里描述的所有控制方式并非都适合于每种情况，它不可能将当地系统、环境和技术限制考虑在内，也不可能适合一个组织中的每个潜在的用户，因此，这个标准还需结合实际情况进一步加以补充。

此外，信息安全管理建立在风险评估的基础上，而风险评估本身是一个复杂的过程，不同组织面临不同程度和不同类型的风险，风险的测度需要有效的方法支持，因此按照该标准衡量一个系统还需要一些相关技术的配合。

5 信息安全管理体系的实施

实施管理体系需要切实可行的计划以及管理高层的支持。对于所有的管理体系，在实施的过程中都是运用相近的工具和相同的方法来完成。因此，以下内容同样适用于其它管理体系的实施。

5.1 了解BS7799管理体系及其要求　　

管理层支持

所有员工都与决定实施BS7799管理体系有关，并要求对体系所包括的内容有一定的了解。典型的例子是：当第一次实施BS7799管理体系时，管理高层决定实施，但实际实施的职责将落在实施经理的身上，如信息中心主任。理想的情况是，实施BS7799管理体系应由见多识广的管理高层来决定，他们的支持须贯穿于整个实施管理体系的长期过程中。

提升对管理体系的理解

所有实施体系的人员应了解标准并熟练掌握，因此需要将BS7799印刷多份并分发给参与体系实施的每一个人员，所有人员从仔细阅读BS7799标准，通过召开例会学习BS7799的总体内容，并藉此进行安全意识训练。在这个阶段，还可以通过专家讲座的形式，如管理高层亲自参加一天的介绍性的培训课程，这对体系的建立是有很大的好处，同时实施经理也会受益非浅，但如果能够参加更详细培训，毫无疑问这将更有利于BS7799标准的实施。

5.2 实施体系

选择性的支持服务和书籍

当真正决定开始实施信息安全管理体系时，参与培训课程和购买书籍是必不可少的。不过目前有不少企业为了实施的有效性，会选择聘请顾问公司来帮助建立信息安全管理体系。顾问公司可以在实施的全过程和怎样建立一套最适合客户业务发展的管理体系中起到协助的作用，并为客户提供更多的增值服务。

员工对信息安全管理体系的培训和掌握

在实施的过程中，全体员工对信息安全管理体系的认识是非常重要的。如他们的日常工作是什么和对其有什么影响。故培训课程对这方面是很有帮助的，另外有不少企业还会要求开发一些符合其自己特殊需求的课程。

5.3 申请信息安全管理体系的认证

一量信息安全管理体系开始运行，为了确保其长期有效的运行，获得第三方认证机构的认证是必要的。

选择合适的认证机构

选择认证机构是一个综合考虑多种因素的复杂过程，选择一个最适合和最能满足自己需要的认证机构是非常重要的一步，通常需要考虑因素如下：

地域的覆盖----某些认证机构只是覆盖较小的地域，但其它的认证机构则是在全球开展其业务。

行业经验----一些认证机构在各行各业都有审核人员，但某些只是在少数行业内有审核人员。

获得认可机构的认可----某些认证机构是没有获得认可的，有些则获得少数认可机构的认可，有些则获得很多认可，当然获得更多认可对申请认证的企业非常重要。

价格的结成和比率----某些认证机构改变正常的费用，有些则不同。应着眼于多年的总计费用，而并不只是第一年的费用。

申请认证的过程

一旦选定适合您的认证机构后，认证的过程通常包括以下的步骤：

选择性的预备审核

正式审核

审核结果

监督审核

多数认证机构在第三年须要进行重新审核，但BSI不需要。

5.4 推广和维护既有的信息安全管理体系

经过努力的工作，获得管理体系的证书，并不只是企业内部受益，可以向客户或利益相关方提供己方符合信息安全管理国际标准的证据，使组织获得期望的信赖。为使信息安全管理体系保持有效，组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正、预防行动及管理评审信息来持续地维护和改善ISMS的有效性。另外，为了维持证书的有效性，维持和持续改善贯穿于整个监督审核的全过程。

结束语

安全是一种"买不到"的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。建立一个有效的信息安全体系首先需要在好的信息安全治理的基础上，其次要制定出相关的管理策略和规章制度，然后才是在安全产品的帮助下搭建起整个架构。相反，就不可能得到一个真正意义上的安全防护体系。这些单位可能安装了一些安全产品，但并没有一个安全的体系，因为没有建立它的基础。