BS7799企業資訊安全管理認證

整理/王宇平


本文由普華資安資訊安全資深顧問蔡興樺提供


BS7799是一套英國國家的資訊安全管理系統標準，該標準係由Bsi（The British Standards Institution英國標準協會）邀集業界相關領導廠商為共同追求有國際性品質的資訊安全管理系統所共同開發而成，由DNV、Bsi..等認證機構來做審核認證的動作，包括澳大利亞、紐西蘭、荷蘭、挪威及瑞典等國都相繼採用BS7799為各國的國家標準，BS7799並於2000年11月於國際標準組織（ISO）審核通過，成為全球通用與遵循之資訊安全管理系統規範，並於2000年12月1日正式頒佈為ISO/IEC 17799。


10項分析評估領域
企業在取得BS7799認證的過程當中可以協助組織辨認所有關鍵交易活動、加強弱點管控、適當評估資訊資產的價值，評估其風險、提供解決策略及提供適當成本的解決方法。資訊是現今企業的命脈，快速取得正確的資訊是企業獲取競爭力的關鍵因素，要在這快速變化且競爭激烈的環境下成功，企業必須證明自己能夠適當的保護資訊的安全，包括組織本身、客戶及交易廠商的資訊。因此，面對日新月異的資訊科技，資訊安全是一個持續性的挑戰。


BS7799針對十項領域進行企業資訊系統管理架構之資料收集與分析評估：


1.資訊安全政策
高階主管對資訊安全之期許與要求。


2.組織與權責
資訊安全部門及相關部門之組織架構、運作流程與責任歸屬。


3.資產管控
依照資訊資產之運作流程與資產價值，將資訊資產作分類，並規劃各不同等級資
產所需之保護措施。


4.人員的安全
將針對員工訓練、員工之資訊安全工作範圍與責任歸屬及重大事件呈報步驟作相關規劃。


5.設備與環境的安全
規範有形資產之保護措施、安全裝備、與一般控管原則。


6.通訊與作業程序管理
確保通訊、資訊設備的作業處理之安全性。


7.存取管理
使用者權限之設定應依使用者工作職權而給予，以降低未經授權存取系統資源之風險。


8.系統維護與發展
規劃企業內系統開發與維護過程，將資訊安全列入流程範圍。


9.緊急應變作業程序
針對各種可能的意外災害，研擬適當應變方案


10.法規、政策之遵循
各種法規，如電子資料保護法、單位組織資訊安全政策之遵循。



BS7799的優點
BS7799著重在保護組織的資訊資產，包括資訊的產生、處理、傳輸及儲存機制，此標準包括提供一個客觀的測量、比較資訊安全管理標準的方法、增加電子商務廠商交易的信心兩大部分。此認證之存在，使得任何獨立之評估，有一客觀標準可為依循。


對外：
1.增加消費者對廠商之信心及滿意度
2.強化廠商市場競爭力


對內：
1.改善公司資訊安全環境
2.降低資訊交易風險
3.提升公司的經營利潤



BS7799簡史
BS7799 Part I / ISO/IEC 17799 :
Code of practice for information security management system（資訊安全管理系統實施規則）
BS7799 Part II :
Specification for information security management system(資訊安全管理系統驗證規範)
1995年: 英國公佈BS7799 Part I
1998年: 英國公佈BS7799 Part II
1999年: 英國公佈新版BS7799 Part I、Part II
2000年:ISO通過成為ISO/IEC 17799 Part I



英國標準協會（BSi）簡介
英國標準協會（British Standards Institution簡稱BSi）前身為「英國土木工程師協會」，成立於1901年，協會歷史已逾百年，為英國皇家特許之國家標準制定機構，它代表了英國對於歐洲與國際間相關標準所持有的觀點。 BSi目前已經創立了三萬五千多種標準，其中最為國人所熟知的標準為1979年及1992年公告的BS5750及BS7750，BS5750即為今日ISO9000系列標準的前身，BS7750則為ISO14001的起源。1996年BSi公佈BS8800職業安全衛生管理系統指導原則，帶動全球另一波驗證重點，Bsi進一步邀集全球十一大驗證相關機構共同訂定職業安全衛生標準（Occupational Health & Safety Assessment Series；OHSAS18001），並於1999年4月公告實施，同年底Bsi正式推行OHSAS18001標準。 2000年12月1日，Bsi公佈的資訊安全標準BS7799經ISO審議通過成為國際標準，這個標準在九八及九九年就分別為英國與瑞典頒布為國家標準，目前已有荷蘭、丹麥、挪威、芬蘭、澳洲、紐西蘭、南非等國採用，日本、瑞士、盧森堡等國亦對 BS 7799 深表興趣，我國則由行政院研考會於八十八年依循BS 7799 為範本訂定出「行政院所屬機關資訊安全管理規範」。


Bsi分公司遍及歐洲大陸、美國、台灣、香港、中國大陸、新加坡、加拿大、俄國、墨西哥及南美洲等九十餘國，截至目前，Bsi在全世界發出的ISO9000與ISO14001證書約達4萬張，為全球市場佔有率極高的認證機構。