当我们考虑到用管理体系的方法来保护信息安全时,BS7799信息安全管理体系标准无疑是一个很好的帮助:
BS7799是一套基于最佳实践的成功的信息安全管理体系方法,她最早由英国商务部推动,由BSI将其发展成为标准。BS7799共分两部分,第一部分已经在2000年被采纳为ISO17799,是信息安全管理实践指南,第二部分BS7799-2是信息安全管理体系规范,换言之,第二部分告诉我们应该做什么,第一部分则提供了一些如何做或者好做法的指导。
从中我们可以看到,作为一个信息安全管理体系,输入是相关方的信息安全的期望和要求,经过一个PDCA体系的循环,得到的输出将是各相关方信息安全要求的满足,也就是说,信息安全已经受到管理和掌控。
BS7799汇集了优秀企业最佳实践,规范了10个安全控制区域,36个安全控制目标和127个安全控制措施。她以风险评估为基础,自顶向下的管理方法,从组织、人员、流程、技术、法律法规、永续经营等全方位实施的管理体系。
我们构建一个信息安全管理体系,需要考虑以下几个步骤:
1. 定义范围
2. 定义方针
3. 确定风险评估的方法
4. 识别风险
5. 评估风险
6. 识别并评估风险处理的措施
7. 为处理风险选择控制目标和控制措施
8. 准备适用性声明