導入BS7799 標準─企業責無旁貸 http://www.symantec.com/region/tw/enterprise/article/bs7799.html 什麼是防止駭客入侵網路、將病毒阻絕於外並將整體安全漏洞降至最低的最佳方法？英國標準協會 (British Standards Institute，簡稱 BSI)，希望能透過 BS7799替所有企業 (不限英國境內) 解答這個問題。BS 7799 是一套完整的計劃，能有效建構資訊安全防護機制。IT 專業人員可將這套資訊安全標準規則當作藍圖，依其導引制定企業的安全政策與程序。 BS7799 首度於 1995 年公諸於世，企業只要作到 BS7799 的要求，並通過獨立稽核機構評鑑，便可獲頒 BS7799資訊安全認證，向其客戶與合作夥伴宣告，該企業網路內與他們相關的資料都受到適當的保護，而且該企業整體的安全度也值得信任。許多機構有感於面臨的安全威脅有增無減，也開始依照 BS7799 的規定施行，他們的目的不見得是要獲得認證證書，只是把 BS7799 當作最佳指導原則而已。 此套標準已廣為許多國家接受，包括澳洲、南非、紐西蘭、荷蘭與挪威等等。事實上，英國政府於 1998 年版的資料保護法案 (於 2000 年 1 月開始實施) 中，便建議英國境內企業應採用 BS7799，以便符合該項法案的規定。 ※ 註：(1) ISO 17799已於2000年12月正式成為ISO標準 (2) BSI已於2000年公佈 Draft BS7799 Part II:2002供各界評估 瞭解 BS7799 條文 BS7799 共由三個主要部分組成：標準施行規範 (又稱最佳安全實務準則)、資訊安全管理系統標準規格、以及認證程序。導入 BS7799 並完成接受認證的準備工作，預估大約需要六到九個月的時間，視 IT 基礎架構的複雜程度而定。 第一部份：最佳實務準則 在最佳實務準則這個部分，共列舉了組織中十個最主要的部分、127 條控制項目與超過 500 條安管細項，以協助企業保護其資訊資產。第一部份主要著重在風險管理，目標為協助企業預先規劃安全政策，其中制定的控制項目不見得全部適用於每一個企業，但 BS7799 會協助閱讀者找出適用於其業務的部分。企業若要通過獲得認證，必須詳細敘述哪些控制項目不在其安全政策涵蓋範圍內，並提出充分的理由予以解釋。納入安管的項目包括網際網路使用方式、電子商務、電信通訊、行動運算、法律考量與人力資源等等。 第二部分：資訊安全管理 BS7799 的第二部分協助 IT 人員根據企業目標評估其網路資產，並排出優先順序，然後將這些資產整合到安全計劃，也就是資訊安全管理系統內。安全計劃包括四個階段：風險評估、風險管理、導入防護措施與適用條款。 風險評估：指的是分析資訊資產可能遭遇的各種狀況，及發生安全事件對企業目標可能造成的影響，例如具有惡意程式碼以及未經許可便進入網路的行為，都算是可能遇到的風險。 風險管理：指的是得以讓企業減低風險的計劃。風險管理使用的方法不限定於防火牆之類的網路防護措施，還包括實體安全、管理程序、突發事件應變計劃與人力資源規劃等等。 防護措施：指的是企業為了降低風險而規劃並建置的實際工具與資源。 適用條款：企業的安全計劃，是通過 BS7799 認證的必要條件，其中載明企業實際付諸實行的控制項目，以及為何挑選這些控制項目並加以實施的理由；此外，企業也必須列出 BS7799 內哪些控制項目並未受到引用施行，同時提出充足適當的理由加以解釋。 認證程序 企業必須通過安全稽核程序，才能獲得 BS7799 認證。由於接受稽核的準備工作非常繁雜，且所需時間長達半年到九個月，因此許多企業選擇僱用安全顧問協助他們進行這些準備工作。認證稽核共包含兩個部分。首先由接受委託的獨立稽核機構分析企業提出的適用條款，審查該企業對 BS7799 各條款的篩選是否合理，大約只要兩天即可完成。六個星期後，同一稽核機構會到企業現場勘查，評估企業安全政策與程序的施行成果以及企業對 BS7799 所有控制項目的遵循程度。稽核機構會檢驗企業採行的技術，並與各部門員工進行面談，以全盤了解企業實施的安全政策。稽核程序的第二步驟約需要一個星期。當企業通過稽核程序後，發證單位便會發給認證，而且以後每隔一段固定期間，企業都 必須重新接受稽核程序檢驗，才能繼續保有其獲得的認證資格。 BS7799 為企業帶來什麼好處？ BS7799 認證能為企業帶來許多重要的策略與營運優勢，包括： 強化企業安全：透過 BS7799 認證程序，可減少企業網路的弱點，並提高企業的風險控管能力。減少弱點意味著較少的安全漏洞，詐騙行為、財物風險與法律風險也會跟著減少，當然網路的連續運作時間與客戶信心也會隨之提高。 提高安全規劃效率： BS7799 列舉了分屬於十項領域共 127 條控制項目及其控制細項目，導引企業如何進行人力資源、法務與突發事件應變的規劃。這些針對資訊安全而提出的全面性詳細建議，可使得企業開始導入安全措施時，作到更完善、更容易管控且非常符合經濟效益。 提高安全管理成效：所有企業都必須開始制定或重新檢視其資訊安全政策與程序。與企業一般的安全計劃不同的是，BS7799 已證實是資訊安全的最佳實務準則法則。諸如 BT、HSBC、Marks and Spenser、Shell International 與 Unilever 都對 BS7799 的制定多所貢獻，並且在實際商業環境中測試過其成效。 持續保護：企業經過認證後，稽核機構的持續檢驗與BS7799的更新，將確保企業隨時了解最新的弱點以及最佳的實務準則法則。 改善合作關係：為了讓企業網路受到更好的保護，同時又要能進行電子資料交換(EDE)，企業可以BS7799認證作為合作夥伴與供應商的安全要求。 安全的電子商務： BS7799 等於是一個安全徽章，無論是財務機構或電子商城，消費者都能輕易分辨出哪些是經過認證值得信賴的電子商務公司。 提高客戶信心：隨著客戶與廠商對網路安全漏洞愈來愈謹慎，他們也會開始尋求具體的安全保障，BS7799 認證能提供他們需要的信心。 提高稽核投資報酬率(ROI)： BS7799 包含了一套認證程序與委託稽核機構。未來當 BS7799 成為業界標準時，便會有愈多的委託獨立稽核機構協助企業遵循稽核程序，以進行安全政策的檢測與評估，而安全稽核也會愈來愈準確可靠。 降低法律風險：企業通過 BS7799 認證後，將可減少因為安全突發事件而面臨的法律問題，因為法庭將會把企業符合該項標準的事實，認定為企業已經做到足夠程度的安全防護。 維護網路安全以保護資訊資產，已經是現今所有企業都非常重視的一部份，但建構並制定完整的安全政策畢竟不是件容易的事，幸好有 BS7799 這類網際網路安全標準程序，協助 IT 人員以更有效率的方式管理網路安全，以便獲得更佳效果。隨著企業每天面對的安全威脅有增無減，問題已經不再是「為什麼要導入 BS7799」，而是「為什麼不導入 BS7799」了。