ISO/IEC17799概述

整理/編輯部


資訊是現今企業的命脈，快速取得正確的資訊是企業獲取競爭力的關鍵因素，要在這快速變化且競爭激烈的環境下成功，企業必須證明自己能夠適當地保護資訊的安全，包括組織本身、客戶及交易廠商的資訊。因此，面對日新月異的資訊科技，資訊安全是一個持續性的挑戰。


由於廣泛地涵蓋了所有的安全議題，由BSi（The British Standards Institution，英國標準協會）邀集業界相關領導廠商，為共同追求國際性品質的資訊安全管理系統所共同開發而成的標準BS7799，可適用於各種產業與組織，是一個包含了各面向的企業資訊安全管理標準。BS7799係由BSi、DNV等認證機構來做審核認證的動作，包括澳大利亞、紐西蘭、荷蘭、挪威及瑞典等國都相繼採用BS7799作為資訊安全管理系統的國家標準。BS7799並於2000年11月於國際標準組織（ISO）審核通過，成為全球通用與遵循之資訊安全管理系統規範，並於2000年12月1日正式頒佈為ISO/IEC17799。
什麼是ISO/IEC17799？
BSi於1995年2月提出BS7799 Part I，全名為Code of Practice for Information Security（資訊安全管理系統實施規則），隨後，BSi於1998年公佈BS7799 Part II，即Specification for information security management system(資訊安全管理系統驗證規範)；1999年5月Bsi進一步修訂公佈新版BS7799 PartI、PartII。至2000年底，國際標準組織（ISO）為提供一套能供全球依循的資訊安全控管標準，乃將BSi所制定的「資訊安全管理實務準則」BS7799PartI納入世界標準，編號為：ISO/IEC17799。


ISO17799的內容與結構
p>ISO17799內容包含10大管理要項、36個執行目標與127種管制方法，其結構為：資訊安全範圍、風險審查與風險管理、資訊安全政策、資訊安全管理架構、資訊安全管理系統維護與審查。




10大管理要項

1.資訊安全政策：定義高階管理對資訊安全之期許與要求，並將其文件化，以利企業內資訊安全之推行。

2.組織與權責：幫助成立資訊安全部門，並定義其組織架構、運作流程與責任歸屬。

3.資產分類與管理：依照資訊資產之運作流程與資產價值，將資訊資產作分類，並規劃各不同等級資產所需之保護措施。

4.人員安全管制：為降低人為疏失發生機率，並減少人為之惡意侵害行為，將針對員工訓練、員工之資訊安全工作範圍與責任歸屬及重大事件呈報步驟，作相關規劃。

5.設備與環境之安全管理：規範有形資產之保護措施、安全裝備與一般控管原則。

6.通訊及作業之安全：針對資訊運作設施所規劃之控管措施，以確保資訊運作過程之正確與安全。

7.存取管制：使用者權限之設定應依使用者工作職權而給予，以降低未經授權存取系統資源之風險。

8.資訊系統之開發與維護：規劃企業內系統開發與維護過程，將資訊安全列入流程範圍。

9.業務活動永續運作之管理：規劃企業面臨重大意外事故時所需之應變措施與回復機制。

10.法令依據：避免企業之資訊管理系統違反相關法令，針對現有法律環境作適當之控管程序複核與改善。




36個執行目標、127種管制方法

例如：外來單位存取組織內資訊及資訊處理設施時之安全管理；委外加工處理時相關資訊之安全管理；降低人為錯誤、偷竊、欺騙或設備誤用之風險；當發生重大系統失效或人為疏失時，不會中斷企業活動且能保護企業的關鍵流程...等。



建立資訊安全管理標準的優點
建立資訊安全管理標準的具體優點可以針對企業內外兩部份來說明：

1.對內：改善企業資訊安全環境、降低資訊交易風險、提升企業經營利潤；

2.對外：增加消費者對企業之信心及滿意度、強化企業市場競爭力。




(資料提供：經濟部標準檢驗局、電腦稽核協會、普華資安資深顧問蔡興樺）