BS7799 簡介

BS7799 簡介
BS7799 - 國際資訊安全稽核規範，全名是 BS7799 Code of Practice for Information Security，由英國標準協會 British Standards Institution 在 1995 年提出、修訂，為目前國際上最知名的安全規範，而且已被 ISO (International Organization for Standardization) 接納成為國際標準。

BS7799 內容大致上分成兩個部分:

• The code of practice for information security systems: 設立了產業最佳的管理資訊安全準則
• Specification for Information Security Management Systems - ISMS」: 詳述 IT 安全應用與稽核所應遵循的架構，包含 10 個章節與 10 個控管重點，它可以來設置應用的時程，並以 10 個控管重點來保證目標的達成。

BS7799 包含了所有企業安全政策，從安全政策的擬定、安全責任的歸屬、風險的評估、到定義與強化安全參數及存取控制、防毒策略。 根據 BS7799 標準的風險評估包括了兩項系統化的考量：

1. IT 安全的破壞造成可能的資訊保密性、真確性與可用性失效之後果，將會導致對企業的傷害。

2. 對各種威脅的防範與合理的控管都會影響這些破壞發生的實際可能性。
BS7799 是一套相當複雜的資訊安全應用與稽核的標準，但不外乎就是控管（Control）的觀念。定義一套完整的政策、程序、實施與組織化的架構，用來提供合理的保障使企業目標得以達成，並避免、偵測或修正無法預期事件所造成的後果。

BS7799 的 10 個章節中內容介紹如下：
1. Security Policy「安全政策」的目標在於提供管理的方向來保障資訊安全。

2. Security Organization「安全組織」的目標包括a.企業內資訊安全的管理b.維持處理組織安全的相關設施與資訊資產由一個可靠的第三單位所控管c.維持當資訊處理程序外包（outsourced）給其他組織時的安全

3. 加上防止侵入程式妥善配置防禦軟件，可敏捷地確認攻擊模式，然後在警號響起之時，立即抵禦黑客。

4. Assets Classification and Control「資產分類與控制」是為了維持對企業資產適當的保護及確保資訊資產可得到一個相當程度的保障。

5. Personnal Security「人員安全」為了要降低人為錯誤、竊取、欺騙、及濫用相關設施的風險，來確保使用者意識到資訊安全的威脅；為了確保在正常工作程序中資訊的安全與降低安全意外事件的損害並從其中習得相關經驗。

6. Physical and Environmental Security「實體與環境安全」主要是為了避免未授權之存取、破壞與影響企業的建築或資訊；避免損失、或對資產的破壞與阻礙企業活動的進行；避免對資訊及其處理設施的破壞或竊取。

7. Computer and Network Management「電腦與網路管理」要達成a.確保正確與安全資訊處理設備之運作b.把系統的失誤降到最低c.保護軟體和資訊的真確性d.維持資訊處理與通訊的正確性與可用性e.確保資訊在網路上的保全與保護支援的基礎建設f.避免對資產的損害與中斷企業活動g.避免資訊在組織間傳遞時的中斷、竄改與誤用。

8. System Access Control「系統存取控制」要達成a.資訊存取控制b.避免資訊系統未授權之存取c.網路服務的保護d.避免電腦未授權之存取e.偵測未授權之活動f.確保行動運算與電信網路設施的安全。

9. Systems Development and Maintenance「系統開發與維護」要做到a.確保安全被內建在運作的系統中b.避免使用者資料在應用系統中被中斷、竄改與誤用c.保護資訊的授權、機密性與真確性d.確保所有的 IT 專案與相關支援活動都在安全的考量下進行e.維護應用系統軟體與資料的安全

10. Business Continuity Planning「企業持續運作規劃」要降低對企業活動的阻礙與防止關鍵企業活動受到嚴重故障或災害的影響。

11. Compliance「遵行」則是要a.避免違反民、刑事法律、規範、或任何安全要求契約上的義務b.確保系統運作遵循組織的安全政策與標準c.把系統稽核過程之效能極大化與影響最小化。

BS7799 資訊安全應用規範的 10 大 Control 重點：
1. Information security policy document：資訊安全政策文件化
2. Allocation of information security responsibilities ：資訊安全的責任歸屬
3. Information Security Education & Training：資訊安全的教育訓練
4. Reporting of Security Incidents：安全事件的通報機制
5. Virus Controls：病毒的控制
6. Business Continuity Planning Process：企業持續規劃的程序
7. Control of proprietary software copying：軟體複製的管制
8. Safeguarding of organizational records：組織相關紀錄的防護
9. Data Protection：資料保護
10. Compliance with security policy：資訊安全政策的遵循

資訊安全是一股不可違逆的潮流，對組織或企業來說，必須衡量自身承受安全的風險與成本之平衡，訂定出一套符合本身需求的「安全政策」。