| SUPPORT |
| |
SUPPORT
-> 技术文章->系统安全概念
|
 系统安全概念
-
 BS7799 简介
- BS7799 - 国际资讯安全稽核规范,全名是 BS7799 Code of Practice for Information
Security,由英国标准协会 British Standards Institution 在 1995 年提出、修订,为目前国际上最知名的安全规范,而且已被
ISO (International Organization for Standardization) 接纳成为国际标准。
BS7799 内容大致上分成两个部分:
- The code of practice for information security systems:
设立了产业最佳的管理资讯安全准则
- Specification for Information Security Management Systems
- ISMS」:
详述 IT 安全应用与稽核所应遵循的架构,包含 10 个章节与 10 个控管重点,它可以来设置应用的时程,并以
10 个控管重点来保证目标的达成。
BS7799 包含了所有企业安全政策,从安全政策的拟定、安全责任的归属、风险的评估、到定义与强化安全参数及存取控制、防毒策略。
根据 BS7799 标准的风险评估包括了两项系统化的考量∶
- IT 安全的破坏造成可能的资讯保密性、真确性与可用性失效之後果,将会导致对企业的伤害。
- 对各种威胁的防范与合理的控管都会影响这些破坏发生的实际可能性。
BS7799 是一套相当复杂的资讯安全应用与稽核的标准,但不外乎就是控管(Control)的观念。定义一套完整的政策、程序、实施与组织化的架构,用来提供合理的保障使企业目标得以达成,并避免、侦测或修正无法预期事件所造成的後果。
BS7799 的 10 个章节中内容介绍如下∶
- Security Policy
「安全政策」的目标在於提供管理的方向来保障资讯安全。
- Security Organization
「安全组织」的目标包括
a.企业内资讯安全的管理
b.维持处理组织安全的相关设施与资讯资产由一个可靠的第三单位所控管
c.维持当资讯处理程序外包(outsourced)给其他组织时的安全
- 加上防止侵入程式
妥善配置防御软件,可敏捷地确认攻击模式,然後在警号响起之时,立即抵御黑客。
- Assets Classification and Control
「资产分类与控制」是为了维持对企业资产适当的保护及确保资讯资产可得到一个相当程度的保障。
- Personnal Security
「人员安全」为了要降低人为错误、窃取、欺骗、及滥用相关设施的风险,来确保使用者意识到资讯安全的威胁;为了确保在正常工作程序中资讯的安全与降低安全意外事件的损害并从其中习得相关经验。
- Physical and Environmental Security
「实体与环境安全」主要是为了避免未授权之存取、破坏与影响企业的建筑或资讯;避免损失、或对资产的破坏与阻碍企业活动的进行;避免对资讯及其处理设施的破坏或窃取。
- Computer and Network Management
「电脑与网路管理」要达成
a.确保正确与安全资讯处理设备之运作
b.把系统的失误降到最低
c.保护软体和资讯的真确性
d.维持资讯处理与通讯的正确性与可用性
e.确保资讯在网路上的保全与保护支援的基础建设
f.避免对资产的损害与中断企业活动
g.避免资讯在组织间传递时的中断、窜改与误用。
- System Access Control
「系统存取控制」要达成
a.资讯存取控制
b.避免资讯系统未授权之存取
c.网路服务的保护
d.避免电脑未授权之存取
e.侦测未授权之活动
f.确保行动运算与电信网路设施的安全。
- Systems Development and Maintenance
「系统开发与维护」要做到
a.确保安全被内建在运作的系统中
b.避免使用者资料在应用系统中被中断、窜改与误用
c.保护资讯的授权、机密性与真确性
d.确保所有的 IT 专案与相关支援活动都在安全的考量下进行
e.维护应用系统软体与资料的安全
- Business Continuity Planning
「企业持续运作规划」要降低对企业活动的阻碍与防止关键企业活动受到严重故障或灾害的影响。
- Compliance
「遵行」则是要
a.避免违反民、刑事法律、规范、或任何安全要求契约上的义务
b.确保系统运作遵循组织的安全政策与标准
c.把系统稽核过程之效能极大化与影响最小化。
BS7799 资讯安全应用规范的 10 大 Control 重点∶
- Information security policy document∶资讯安全政策文件化
- Allocation of information security responsibilities ∶资讯安全的责任归属
- Information Security Education & Training∶资讯安全的教育训练
- Reporting of Security Incidents∶安全事件的通报机制
- Virus Controls∶病毒的控制
- Business Continuity Planning Process∶企业持续规划的程序
- Control of proprietary software copying∶软体复制的管制
- Safeguarding of organizational records∶组织相关纪录的防护
- Data Protection∶资料保护
- Compliance with security policy∶资讯安全政策的遵循
资讯安全是一股不可违逆的潮流,对组织或企业来说,必须衡量自身承受安全的风险与成本之平衡,订定出一套符合本身需求的「安全政策」。
|
|
|
