解析ISO17799方法

申请免费试用、咨询电话：400-8352-114

BS7799/ISO17799目前是建立信息安全体系公认的国际标准，内容涉及信息安全技术、管理和法律问题。依据BS7799/ISO17799的实施原则，企业可以检测、分析和降低信息安全风险。该标准涉及内容颇多，本文约请行业内的专家，提纲挈领地阐述了该国际标准的具体实施步骤，以帮助企业信息安全管理人员建立有效的信息安全管理机制。

1 实施ISO17799前的准备工作

这是成功建立信息安全管理体系的关键，主要包括以下的内容。

（1）企业主要管理人员参与

项目实施的成功需要企业主要管理人员对信息安全管理体系框架及功能的确认、审批，没有主要管理人员的参与，项目的运作可能会遇到困难并可能被无限地延期，主要管理人员包括企业的各个层面：运营、技术、预算等人员。

（2）成立项目管理委员会

委员会中必须有企业的主要管理人员，实施的项目经理必须来自企业的不同管理部门。

项目经理通常是企业负责运营的人并且能把项目放在优先位置上；他必须熟悉实施流程并能把握实施的有效性。在一些大型企业里，首席信息安全官应该担当这个职位。

与项目有关的其他委员会和小组在图1中说明。

在大多数情况下，ISO17799标准在一个企业内部的实施需要企业内各个管理部门的介入，表1列出了ISO17799在实施过程中涉及的企业管理部门。

2 定义信息安全管理体系（ISMS）

当项目管理委员会成立后，必须立足企业基本情况定义信息安全管理体系框架。安全的范围扩展到整个企业，信息安全管理体系必须在企业管理的控制之下。如果企业不能控制信息安全管理体系，信息安全管理体系就不能有效发挥作用。

（1）定义ISMS

为了能更好更准确地定义企业的ISMS，首先要清晰地定义以下内容。

● 目标：建立ISMS是为了考核企业符合ISO17799标准或企业希望获得BS7799-2审核认证；

● 范围：定义建立ISMS涉及的管理部门、需要采取的措施、措施的优先级别及对部门的重要性；

● 限制条件：ISMS范围限制的定义依据是：企业的特点、企业的地理位置、资产（关键数据的库存）、技术等；

● 界面：企业在建立ISMS时必须考虑企业信息系统同其他系统、其他组织和外部供应者的界面。注意: 在ISMS定义限制中不可能完全包括所有外界提供服务和活动的界面,但在ISMS认证时必须考虑，并应该是企业信息安全风险评估的一部分，例如，向合作方共享计算机、通信系统等设备;

● 依赖关系：ISMS必须遵循特定的安全需求，这些需求可能是法律方面的或是商业方面的，例如：国际医疗组织必须遵循HIPPA；中国必须遵循公安部等级保护制度；

● 例外情况：任何被SGSI定义的要素或域（网络的一部分或管理单元），如果没有进行过安全测试或被安全策略覆盖，必须作出例外说明；

● 组织内容：为满足特定目标在企业环境中实施的加强措施，例如：从企业外部访问内部资源需要采用特殊的安全措施。

（2）获得企业内已经存在的文档资料

为了评估已经实施的安全措施，检查已经存在的文档资料是非常必要的。例如：ISO9000质量管理手册、ISO14001环境管理手册和信息安全策略手册等。涉及到ISMS定义的每个部门的管理人员必须列出在他们部门内与数据安全相关的文档资料库清单。

可能涉及的资料有：

● 安全策略文档资料；

● 策略制定相关的标准和审批手续（管理和技术方面）；

● 风险评估报告；

● 风险处置计划；

● 目前ISMS中存在的信息安全控制和管理方面的说明文档，例如：审计日志、审计跟踪记录、计算机安全事件报告等等。

3 风险评估

（1） 为什么要进行风险评估？

无论企业的大小和类型，对所有企业来说，脆弱点的存在都将威胁企业信息的保密性、完整性和可用性。保护措施采取得越及时，安全就变得越有效和廉价。为了更容易定义和选择安全控制措施，以便更好地管理企业人力和财务资源，必须识别目前企业存在的威胁。

（2）初期检测

首先应该根据ISO17799需求的控制点、过程和程序对企业信息安全管理框架状态做一次评估。另外必须提高企业对安全标准和实践（如从每个安全问题的分析中学习）的认识。在ISMS实施前要做调查，而且在实施后也要做调查，目的在于检查原来的漏洞是否弥补，检查改进的程度。需要产生一个ISO17799符合情况报告。

（3）资产定义和评估

信息安全风险评估的初期过程是对企业敏感和关键数据的定义。企业必须对指导业务运营、财务运营和相关市场战略的信息等建立信息库，根据信息和其重要等级做相应的处理（保密、内部使用、公开等等）。

（4）定义和评估环境资产

因为数据是一个无形资产，它必须以有形的形式来掌握、处理、存储、打印、披露和通信。因此，企业的无形资产需要针对CIAL（保密性、完整性、可用性、合法性）进行定义和价值说明。例如：在硬盘中存储的财务数据具有高保密性要求、中等完整性要求和中等可用性要求。

可根据以下内容进行分类：建筑和设备、文档资料、软件、计算机设备、人力资源和服务。

（5）定义和评估威胁和脆弱性

脆弱性可能被威胁利用对数据产生负面影响（如数据信息披露、腐蚀、毁坏、法律纠纷等）。对企业面临的商业约束、地域的法律约束、环境约束都必须作出明确定义。

4 处置风险

当风险已经定义后，必须决定如何管理这些风险。下面的内容可以描述如何管理风险：初始的安全策略；保障需求的等级；风险评估结果；存在的商业、法律和管理规定约束。

（1）通常有四种风险处置的方法

● 降低风险：实施控制措施将风险降低到可接受的等级；

● 接受风险：计算出风险值并知道如何承担风险的后果；

● 回避风险：忽略风险不是正确的解决办法.然而风险可以通过将资产移出风险区域而避免风险发生或完全放弃可能产生安全弱点的商业活动来回避风险；

● 转移风险：通过购买、保险或外包来转移风险。

（2）选择控制项

在大多数情况下，必须选择控制项降低风险。

在完成风险评估之后，企业需要在每一个目标信息环境中，对选择的控制项进行实施，以便遵从ISO17799标准。企业选择能够承受（经济上）防护措施来防护面临的威胁。在最终风险处置计划出来前，企业可以接受或拒绝建议的保护方案。

（3）风险处置计划

风险处置计划包含所有相关信息：管理任务和职责、管理责任人、风险管理的优先等级等等。

对企业来讲，有一些附加控制在标准中没有描述，但也是需要的。一个由外部咨询顾问协助的风险评估会很有帮助。

（4）控制项的实施

现在可以开始实施风险处置计划了。企业应该尽其所能在管理、技术、逻辑、物理和环境控制方面进行劝止、防护、检测、纠正、恢复和补偿工作。如表2所示。

（5）控制措施及其定义的原则

● 劝止：降低威胁的可能性；

● 防止：保护或降低资产的脆弱性；

● 纠正：降低风险和影响的损失；

● 检测：检测攻击和安全的脆弱性，针对攻击建立防护和纠正措施；

● 恢复：恢复资源和能力；

● 补偿：对控制措施的替代方案。

应该咨询信息安全专家和法律专家，确保控制措施的选择和实施是正确的。

5 培训和提高意识

确信在ISMS中的企业员工有能力并能保证质量地完成他们的任务。在这种情况下企业要：

● 明确在企业中涉及信息安全工作的人员需要掌握的技术；

● 提供适当的培训，如果必要可以雇佣有经验能够胜任工作的员工；

● 评估培训和培训后工作的有效性；

● 维护每个员工的教育、培训情况，掌握他们的能力、经验和资格。

企业必须确信在ISMS中的相关人员知道达到ISMS目标的方法并知道他们所做的相关信息安全活动的重要性。

开发一个企业内部的信息安全培训计划，教育企业内部员工是很重要的。

企业员工是抵制信息安全侵害的最廉价的代表。通常，他们首先受到信息安全事件影响，能够防止和降低安全事件发生时产生的影响。安全控制中人员因素是非常重要的，其中可以说员工对安全意识的理解尤其重要。认识和报告可能产生安全事故的事件应该成为员工的本能，这也必须成为安全意识培训的目标。员工每时每刻的信息安全意识必将是企业信息资产的最好保护伞。

（1） 在开始信息安全意识培训前

要理解提高信息安全意识、培训和教育三者之间的不同，如表3所示。

（2）在提高信息安全意识中的一些关键因素

● 建立企业文化，员工在企业环境和文化中得到洗礼；

● 明确企业主管的参与；

● 理解员工在安全方面的重要性；

● 利用企业内部的共同媒介充分利用内部人员的力量：传统的方法有企业网站、内部邮件；

● 挖掘现有的资源；

● 建立策略、流程、表格和相关检查表；

● 定义希望的最终结果：需要撰写的文档、需要编写的手册、编写Email、组织网站内容、定义外部网络资源、确认新老员工能够遵循规则。

（3）在提高意识培训期间

● 定义意识培训计划的目标，目标必须符合企业发展战略。例如：让员工理解安全威胁，使员工能在行动中尽能力保护企业的信息系统。

● 定义企业的目标组（主要的、次要的），例如：普通员工、技术和管理;

● 根据组定义信息的使用；

● 了解企业组织的现状；

● 详细描述计划中要采取的行动；

● 文档资料的分发;

● 策略、标准和流程必须电子化;

● 如果可能为信息安全部门设计一个LOGO（这样可以很快地确定部门的性质）；

● 培训通常内容为：风险、基本原则（介绍、CIA概念、好习惯等）、开发、特殊信息、演示、处理威胁、风险和脆弱性的解决方案、职责，让员工签署保密协议，按年度执行。

（4）意识培训实施以后

● 评估培训的满意度；

● 评估培训的贡献；

● 确认知识得到传递；

● 记录和更新培训后工作中发生的变化和新的措施。

6 审计准备

（1）ISMS符合情况诊断

BS7799-2认证需要对信息安全管理体系实施详细情况的符合性进行证实。完成调查表将有利于搞清企业管理中针对ISMS的开发、控制、检查、维护和改进是不是确实在进行。同时也验证企业管理BS7799-2认证需要文档的能力和履行安全需求要求的能力。

（2）应用状态

在审计前必须总结目前的应用状态。这个文档提供每个ISO1779控制点的应用和不应用的情况，包括在哪里应用及每个控制点的实施状态。

针对控制目标选择、控制点选择和控制地点的选择理由作出简短的解释，包括在ISO17799标准中列出的但被企业拒绝实施的控制措施的理由。

7 审计——BS7799-2认证

BS7799-2的认证目前是完全自愿的。企业如果成功完成BS7799-2认证说明它们具备管理信息安全的能力，能够确保企业的信息安全；而且，这个企业更容易找到合作伙伴和投资人。BS7799-2认证的信誉已经是一个公认的事实，通过认证的企业能够通过信息安全控制措施确保企业信息的安全和保密。

认证机构对企业的ISMS认证不少于两个阶段，除非有可以理解的特殊说明（如对一个很小的组织的认证），认证审计有两个部分。

(1) 文档资料审计

文档资料审计的一个目标是能够让认证机构认识到组织在建立ISMS内容方面的情况包括安全策略、安全目标、风险管理的方法。同时也可以作为下一次审计的参照点并说明企业针对审计所开展准备的情况。

文档资料审计包括文档资料检查，这些工作必须在控制实施审计前完成。审计认证机构必须对ISMS设计和实施相关文档资料做全面的检查，包括：安全策略状态、ISMS的范围定义、ISMS的所有流程和控制支持、风险评估报告、风险处置计划、有关信息安全处理的计划运营和有效控制的流程、ISMS一致和有效运营的确认记录、应用的状态。

文档资料审计结果必须形成报告。报告可以帮助确定什么时候进行下一阶段审计。同时也被用于选择下一步审计小组的成员，这些人掌握技术，能处理ISMS中的特殊情况。在进入到审计的下一个阶段时，认证机构需要通知在控制实施审计阶段需要的特殊文档资料、信息和报告。

（2）控制实施审计

控制实施审计依据文档资料审计报告的结论进行。认证机构根据文档资料审计结论制定审计计划，然后方能开始控制实施审计。审计的地点是企业ISMS实施的地点。

审计包括：

● 确认企业对自己制定安全策略、目标和流程的遵循情况；

● 确认企业ISMS针对BS7799-2要求的符合情况和企业自己制定策略目标的达到情况（检查企业有一个处理系统能满足BS7799 clauses4-7的要求），ISMS的符合性诊断可以利用Callio 17799工具来完成；

● 信息安全相关风险的评估和ISMS的设计结果，包括：风险评估方法、风险定义、风险评估、风险处置、控制目标和风险处置控制的选择、应用状态的准备；

● 检查目标和目标处理的结果；

● 根据目标和预定的结果进行监控、测试、报告和检查。

（3）审计者的报告

认证机构希望公布审计结果的报告和流程可以多样化。包括可以在审计会议上以书面的或口头的形式，在最后审计结束时给出正式的书面报告，报告描述企业是否符合BS7799-2需求。

企业被邀请参与审计报告注释的编写，需要描述他们将要采取的纠正计划，列出在审计期间需要遵循的标准。如果需要重新评估;认证机构必须正式通知企业。

（4）认证决策

认证决策必须由认证机构最后给出。决策的依据是审计过程中收集到的信息和其他相关的信息。参与者的意见不能作为认证决策的意见。

认证企业最终从认证机构那里获得BS7799-2证书。证书中的信息包括认证的范围、认证的有效日期、应用状态的版本说明和认证机构名称、LOGO和认证标志。

（5）再评估和监控流程

认证机构必须对ISMS认证企业进行周期性的监控审计，频率由认证机构把握，通常情况下每六个月做一次，这样的监控和审计的目的是验证企业能够持续地符合认证要求和BS7799-2标准。

ISMS本身的再评估每三年执行一次。因此，企业至少三年要做一次BS7799-2认证。

8 控制持续改善

无论你是否获得BS7799-2认证，最重要的是正式通过ISMS的实施管理体系改善信息安全。检查更新需要定期执行，因为安全是在随时发生变化的。例如：过期的防病毒软件是没有什么用处的。

（1）PDCA管理模式

BS7799-2标准适合Plan-do-Check-Act模式，这样便能同其他ISO标准一致，如ISO9001和ISO14001。

这种模式强调循环的风险管理和持续改善所带来的成就。如图2所示。

表4是PDCA模型四个阶段的陈述。

（2）持续的改进

在这一点上，启动两个循环步骤：监控和改进ISMS。

● 实施监控程序和其他控制，允许：快速检测处理结果中的错误；根据安全规则快速定义不符合情况，并能及时报告安全事件；确认所有的安全任务无论是个人承担的还是有信息技术部门实施的都在按照计划进行；根据企业确定优先级别和安全规则，定义不符合情况需要采取的行动。

● 基于审计结果、安全事件、关注方提出的建议和意见指导周期性的有效ISMS检查（包括安全目标、安全策略和安全措施）。

● 检查剩余风险和接受风险的等级，并考虑它们发生的变化：组织机构的变化；技术的变化；业务目标和流程的变化；外部事件变化，例如法律、法规和公共观念等。

● 考核ISMS管理规则（至少一年一次），确认ISMS的范围是合适的并有改进意见。ISMS管理检查的更多信息。

● 对可能影响ISMS有效性和执行的活动和事件的关注。

维护和改进ISMS，确定ISMS运营是持续不断的，企业必须：

● 实施定义的改进；

● 采取必要的纠正和防护措施，从企业过去的安全经验或其他经验中学习，收集更多的ISMS改进信息；

● 在协议范围内分享结果；

● 确保针对目标的改进在计划中。

（3）ISMS管理检查

通则：从管理的角度讲必须定期检查ISMS以便确保充分、能力和有效。检查必须为目标和策略变化的改进和评估创造机会。检查的结果必须是文档化的，有记录并妥善保管。

检查的输入：

● ISMS审计和检查结果；

● 关注方提供的共享信息；

● 改善ISMS执行和效率的技术、产品和流程信息；

● 防护和纠正措施的状态；

● 前期风险评估没有关注的威胁和漏洞；

● 前期管理检查的后续活动；

● 影响ISMS的修改；

● 改进建议。

检查的输出：

● ISMS的有效改进工作

● 影响ISMS的内部和外部事件，如：业务需求的变化、安全需求变化、影响目前业务需求的业务流程变化、法律和管理环境变化、风险级别和/或风险接受级别的变化；

● 资源的需求变化。

（4）内部ISMS审计

企业必须定期实施ISMS内部审计，时间应该根据控制目标、控制项、流程和手续来确定。

（5）持续改进

企业通过信息安全策略的落实、安全目标实现、审计结果利用、监控事件的分析、管理检查的安全防范和纠正活动，确保持续改进ISMS的有效性。

（6）纠正活动

企业要采取行动消除实施和运营过程中的不符合结果，防止再次发生错误。纠正措施必须包括下面信息：

● 定义实施和运营中的不符合部分；

● 定义不符合的原因；

● 确定消除重新发生需要采取的行动；

● 定义和实施需要采取的纠正措施。

（7）防护措施

企业必须对未来可能发生的不符合情况采取措施并防止再次发生。防护措施对潜在的不符合影响是合适的。防护措施的流程应该包括如下信息：

● 定义潜在的不符合情况及原因；

● 定义和实施需要的防护措施；

● 获得纠正措施的结果；

● 检查防护措施；

● 风险发展的定义和描述控制风险的步骤。

（8）记录控制

记录的创建和保存是企业符合ISMS需求和有效运营的证据。记录需要控制，必须考虑相关的法律。记录必须是合法的、可辨别的和可访问的。控制需要明确定义，存储、保护、访问、保存时间和记录放置必须文档化。必须对记录的范围和需求做管理规定。

流程处理和相关安全事件需要记录，如：访问者的签名记录、审计报告、访问授权请求，等等。

（本文作者为北京思源新创信息安全资讯有限公司信息安全高级咨询专家）