Red de Respuestas Legales - Derecho empresarial - La relación entre BS7799-1 y BS7799-2 del estándar BS7799

La relación entre BS7799-1 y BS7799-2 del estándar BS7799

BS7799-1 (ISO/IEC 1799:2000) "Reglas de implementación de gestión de seguridad de la información" es un principio rector para que las organizaciones establezcan e implementen sistemas de gestión de seguridad de la información. Proporciona principalmente a las organizaciones estrategias e implementación de seguridad de la información. Los controles eficaces de seguridad de la información proporcionan una mejor práctica común. BS7799-2 "Especificación del sistema de gestión de seguridad de la información" especifica los requisitos para establecer, implementar y documentar un sistema de gestión de seguridad de la información (SGSI) y estipula los requisitos para implementar controles de seguridad basados ​​en las necesidades de organizaciones independientes. A medida que se introduce el alcance de aplicación de este estándar, este estándar es aplicable en las siguientes ocasiones: las organizaciones establecen e implementan sistemas de gestión de seguridad de la información de acuerdo con los requisitos de este estándar, llevan a cabo una gestión eficaz de los riesgos de seguridad de la información y garantizan el desarrollo empresarial sostenible; como medio para buscar sistemas de gestión de seguridad de la información Estándares de certificación de terceros. BS7799-2 establece claramente requisitos de gestión de seguridad de la información y, en consecuencia, BS7799-1 proporciona métodos (medidas) de control comunes. Por lo tanto, BS7799-2 es la base para la certificación. Estrictamente hablando, la certificación obtenida por la organización es que ha obtenido BS7799. -2 Certificación, BS7799-1 proporciona orientación para la implementación específica de BS7799-2, pero los objetivos de control y los requisitos del método de control en el estándar no son todos de gestión de seguridad de la información. Las organizaciones pueden considerar objetivos de control y métodos de control adicionales según sea necesario.

Introducción al contenido de BS7799-1:1999 "Reglas de implementación de gestión de seguridad de la información"

El estándar BS7799-1:1999 (ISO/IEC 1799:2000) tiene un "prefacio" antes del texto y "Introducción", en el que "Introducción" "comprende qué es la seguridad de la información, por qué es necesaria la seguridad de la información, cómo determinar las necesidades de seguridad, evaluar los riesgos de seguridad, seleccionar medidas de control, el punto de partida de la seguridad de la información, el éxito clave. factores, y formular sus propias pautas", etc. Se explica el contenido. Según la norma, la seguridad de la información se refiere al mantenimiento de la confidencialidad, integridad y disponibilidad de la información. La confidencialidad se define como garantizar que la información sólo sea accesible para aquellos autorizados a utilizarla. La integridad se define como proteger la exactitud e integridad de la información y su procesamiento. La disponibilidad se define como garantizar que los usuarios autorizados puedan obtener información y utilizar los activos relacionados cuando sea necesario. Cuando el estándar introduce "Por qué es necesaria la seguridad de la información", la información, los procesos de procesamiento de la información y los sistemas de información y las redes de información que respaldan la información son activos comerciales importantes. La confidencialidad, integridad y disponibilidad de la información son fundamentales para mantener la ventaja competitiva, el flujo financiero, la rentabilidad, el cumplimiento legal y la imagen empresarial. Sin embargo, cada vez más organizaciones y sus sistemas y redes de información se enfrentan a una amplia gama de amenazas a la seguridad, incluidos fraude informático, espionaje, vandalismo, incendios, inundaciones, etc., así como desastres de información causados ​​por virus informáticos, intrusiones informáticas y ataques DOS. , etc. Se ha vuelto más común, planificado y difícil de detectar. La dependencia de las organizaciones de los sistemas y servicios de información significa que son más vulnerables a las amenazas a la seguridad. La interconexión de redes públicas y privadas y el intercambio de recursos de información aumentan la dificultad para lograr el control de acceso. Muchos sistemas de información en sí no están diseñados de acuerdo con los requisitos de los sistemas de seguridad, por lo que depender únicamente de medios técnicos para lograr la seguridad de la información tiene sus limitaciones. Por lo tanto, la implementación de la seguridad de la información debe estar respaldada adecuadamente por la gestión y el control del programa.

El texto del estándar especifica 127 medidas de control de seguridad para ayudar a las organizaciones a identificar elementos que tienen un impacto en la seguridad de la información durante las operaciones. Las organizaciones pueden seleccionarlos y utilizarlos de acuerdo con las leyes, regulaciones y estatutos aplicables, o agregar Otros. controles adicionales. Estas 127 medidas de control se dividen en 10 aspectos y se convierten en una guía práctica para que las organizaciones implementen la gestión de seguridad de la información. Los diez aspectos son:

(1) Política de seguridad: Desarrollar una política de seguridad de la información para proporcionar gestión de seguridad de la información. orientación y apoyo.

(2) Seguridad organizacional: establecer una infraestructura de seguridad de la información para gestionar la seguridad de la información dentro de la organización

Mantener la seguridad de las instalaciones de procesamiento de información de la organización y los activos de información a los que acceden terceros, y mantener la seguridad de la información cuando el procesamiento de la información se subcontrata a otras organizaciones.

(3) Clasificación y control de activos: verificar todos los activos de información para mantener la protección adecuada de los activos de la organización y clasificar la información para garantizar que los activos de información estén protegidos en un grado adecuado.

(4) Seguridad del personal: prestar atención a la definición de responsabilidades laborales y seguridad en los recursos humanos para reducir el riesgo de error humano, robo, fraude o uso indebido de las instalaciones; realizar capacitación a los usuarios para garantizar que los usuarios estén; consciente de las amenazas y asuntos de seguridad de la información, y estar preparado para respaldar las políticas de seguridad de la organización en el curso normal de su trabajo; desarrollar procedimientos de respuesta a incidentes y fallas de seguridad para minimizar el daño de los incidentes y fallas de seguridad, y monitorear y aprender de los incidentes.

(5) Seguridad física y ambiental: Definir áreas de seguridad para evitar accesos no autorizados, daños e interferencias a las oficinas comerciales y a la información, proteger la seguridad de los equipos y prevenir la pérdida, daño o pérdida de activos de información, fugas y interrupción de actividades comerciales; y controles generales para evitar fugas o robo de información y de instalaciones de procesamiento de información.

(6) Gestión de comunicaciones y operaciones: desarrollar procedimientos operativos y responsabilidades para garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información; establecer criterios de planificación y aceptación del sistema para minimizar el riesgo de falla del sistema contra malware; proteger la integridad del software y la información; establecer procedimientos de limpieza para mantener la integridad y disponibilidad de los servicios de comunicación y procesamiento de información para garantizar la seguridad de la información en la red y proteger su infraestructura de soporte; establecer procedimientos para el manejo y la seguridad de los medios para evitar daños a los activos; e interrupción de las actividades comerciales; prevenir la pérdida, modificación o uso indebido de información y software cuando se intercambian entre organizaciones.

(7) Control de acceso: desarrollar requisitos comerciales para el control de acceso para controlar el acceso a la información; establecer una gestión integral del acceso de los usuarios para evitar el acceso no autorizado a los sistemas de información para que los usuarios comprendan su acceso efectivo para mantener las responsabilidades de control para prevenir; el acceso de usuarios no autorizados a la red para proteger los servicios de red; establecer controles de acceso a nivel del sistema operativo para evitar el acceso no autorizado a las computadoras; establecer controles de acceso a las aplicaciones para evitar que los usuarios no autorizados accedan a la información almacenada en el sistema; para detectar actividades no autorizadas; también garantizar la seguridad de la información cuando se utiliza la informática móvil y el trabajo remoto.

(8) Desarrollo y mantenimiento del sistema: identificar los requisitos de seguridad del sistema para garantizar que la seguridad esté integrada en el sistema de información controlar la seguridad del sistema de aplicaciones para evitar la pérdida, modificación o uso indebido del usuario; datos en el sistema de aplicaciones; utilizar control de contraseña para proteger la confidencialidad, autenticidad o integridad de la información; controlar el acceso a los archivos del sistema para garantizar que los proyectos de TI y las actividades de soporte se realicen de manera segura; controlar estrictamente los procesos de desarrollo y soporte para mantener la seguridad; de software e información del sistema de aplicación.

(9) Gestión de la continuidad del negocio: El propósito es reducir la interrupción de las actividades comerciales y proteger los procesos comerciales clave de fallas importantes o desastres naturales.

(10) Cumplimiento: El diseño, operación, uso y gestión de los sistemas de información debe cumplir con los requisitos legales y evitar cualquier delito, violación del derecho civil, violación de estatutos, reglamentos u obligaciones contractuales y cualquier requisito de seguridad. revisar periódicamente la política de seguridad y el cumplimiento técnico garantiza que los sistemas cumplan con las políticas y estándares de seguridad de la organización; las auditorías del sistema también se controlan para maximizar la efectividad del proceso de auditoría del sistema y minimizar las interrupciones;

Introducción al contenido de la "Especificación del sistema de gestión de seguridad de la información" BS7799-2:2002

La norma BS7799-2:2002 detalla el establecimiento, implementación y mantenimiento de los requisitos del sistema de gestión de seguridad de la información (SGSI) , indicando que la organización implementadora necesita seguir una determinada evaluación de riesgos para identificar los objetos de control más apropiados y adoptar controles apropiados para sus propias necesidades. Esta parte presenta los pasos sobre cómo establecer un sistema de gestión de seguridad de la información, como se muestra en la Figura 1:

(1) Definir la política de seguridad de la información.

La estrategia de seguridad de la información es la política más alta de seguridad de la información organizacional. Es necesario formular diferentes estrategias de seguridad de la información de acuerdo con la situación real de cada departamento dentro de la organización. Por ejemplo, una unidad organizacional más pequeña puede tener solo una política de seguridad de la información que se aplica a todos los departamentos y empleados dentro de la organización, mientras que una organización de grupo grande necesita desarrollar un documento de política de seguridad de la información que se aplica a cada departamento en diferentes subsidiarias o sucursales. La política de seguridad de la información debe ser simple, clara, fácil de entender y documentada por escrito y distribuida a todos los miembros de la organización. Al mismo tiempo, todos los empleados relevantes deben recibir capacitación sobre estrategias de seguridad de la información, y aquellos con responsabilidades especiales en materia de seguridad de la información deben recibir capacitación especial para que la política de seguridad de la información pueda realmente arraigarse en las mentes de todos los empleados de la organización e implementarse en trabajo real.

(2) Definir el alcance del SGSI.

El alcance del SGSI determina las áreas que deben centrarse en la gestión de la seguridad de la información. Las organizaciones necesitan desarrollar SGSI dentro de toda la organización o en departamentos o campos individuales de acuerdo con sus condiciones reales. En esta etapa, la organización debe dividirse en diferentes áreas de control de seguridad de la información para facilitarle la realización de una gestión adecuada de la seguridad de la información en áreas con diferentes necesidades.

(3) Realizar una evaluación de riesgos de seguridad de la información.

La complejidad de la evaluación de riesgos de seguridad de la información dependerá de la complejidad del riesgo y de la sensibilidad de los activos protegidos. Las medidas de evaluación utilizadas deben ser consistentes con las necesidades de protección de la organización para los riesgos de los activos de información. La evaluación de riesgos identifica y valora principalmente los activos de información dentro del alcance del SGSI, luego evalúa las diversas amenazas y vulnerabilidades que enfrentan los activos de información y también identifica las medidas de control de seguridad existentes o planificadas. La evaluación de riesgos depende principalmente de factores como la naturaleza de la información y los sistemas comerciales, el propósito comercial del uso de la información y el entorno del sistema utilizado. Cuando las organizaciones realizan evaluaciones de riesgos de los activos de información, deben considerar tanto las consecuencias directas como las consecuencias potenciales.

(4) Gestión de riesgos de seguridad de la información.

Realizar la correspondiente gestión de riesgos en base a los resultados de la evaluación de riesgos. La gestión de riesgos de seguridad de la información incluye principalmente las siguientes medidas:

Reducir riesgos: antes de considerar transferir riesgos, primero debe considerar tomar medidas para reducirlos;

Evitar riesgos: algunos riesgos son fáciles de evitar, como mediante el uso de diferentes tecnologías, cambiando procedimientos operativos, adoptando medidas técnicas simples, etc.;

Transferir riesgos: generalmente solo cuando los riesgos no pueden reducirse o evitarse y son aceptados por un tercero (transferidos partido) fue adoptado. Generalmente se utiliza para riesgos que tienen baja probabilidad pero que tendrán un impacto significativo en la organización si el riesgo ocurre.

Aceptación de riesgos: se utiliza para aquellos riesgos que, por razones prácticas y económicas, deben existir y deben aceptarse mientras la organización opere después de que se hayan tomado medidas de reducción y evitación de riesgos.

(5) Determinar los objetivos de control y seleccionar las medidas de control.

El principio para determinar los objetivos de control y seleccionar las medidas de control es que los costos no excedan las pérdidas causadas por los riesgos. Dado que la seguridad de la información es una ingeniería de sistemas dinámicos, las organizaciones deben verificar y ajustar los objetivos de control seleccionados y las medidas de control en tiempo real para adaptarse a situaciones cambiantes para que los activos de información de la organización puedan protegerse de manera efectiva, económica y razonable.

(6) Elaborar declaración de idoneidad de seguridad de la información.

La declaración de idoneidad de la seguridad de la información registra los objetivos de control de riesgos relevantes dentro de la organización y las distintas medidas de control adoptadas para cada riesgo. La elaboración de la declaración de idoneidad de la seguridad de la información tiene como objetivo, por un lado, declarar la actitud ante los riesgos que enfrenta la seguridad de la información a los empleados dentro de la organización, y en mayor medida, indicar la actitud y acciones de la organización hacia el mundo exterior. para demostrar que la organización ha revisado de manera integral y sistemática el sistema de seguridad de la información de la organización y controla todos los riesgos necesarios dentro de límites aceptables.

Características de BS7799-2:2002

La nueva versión adopta los mismos estándares que los estándares de sistemas de gestión de renombre internacional, como ISO9001:2000 (sistema de gestión de calidad) e ISO14001:1996 (sistema de gestión medioambiental). sistema de gestión). Las principales actualizaciones de la nueva versión de la norma son:

Modelo PDCA (Plan Do Check Act);

Método basado en procesos basado en el modelo PDCA;

Evaluación de riesgos Explicación del contenido y las interrelaciones de los procesos, selecciones de control y declaraciones de idoneidad;

La importancia de la mejora continua de los procesos en el SGSI;

La necesidad de documentación y registros más claros;

p>

Mejoras en el proceso de evaluación y gestión de riesgos;

Apéndices que proporcionan orientación sobre el uso de la nueva versión;

La nueva versión introduce el establecimiento, implementación y mejora del sistema de gestión de seguridad de la información. El modelo PDCA también se cita en el proceso. Según el modelo PDCA, el sistema de gestión de seguridad de la información se descompone en cuatro subprocesos: evaluación de riesgos, diseño y ejecución de seguridad, seguridad. gestión y reevaluación, en particular, se introduce el método de gestión de procesos basado en el modelo PDCA, y en el apéndice se proporciona orientación para interpretar o adoptar la nueva versión de la norma, como se muestra en la Figura 2. Las organizaciones continúan mejorando sus niveles de seguridad de la información mediante la ejecución continua de estos procesos.

La nueva versión del estándar no introduce ningún requisito nuevo de auditoría y certificación en comparación con BS7799-2:1999. El nuevo estándar es totalmente compatible con el sistema de gestión de seguridad de la información (SGSI) establecido, implementado y mantenido. de acuerdo con BS7799-2:1999. La nueva versión de la norma no agrega ningún objetivo de control ni método de control. Todos los objetivos de control y métodos de control son de ISO/IEC 1799:2000. Lo que pasa es que la nueva versión del estándar coloca la cuarta parte del BS7799-2:1999 original como Anexo A detrás del estándar y utiliza un método de numeración diferente para combinar BS7799-2:1999 e ISO/IEC 1799:2000.

上篇: El período de conservación de los expedientes de asistencia jurídica de ShanghaiLa conservación a largo plazo de los expedientes de asistencia jurídica de Shanghai. Según información relevante, el período de conservación de los expedientes de asistencia jurídica de Shanghai debe cumplir con las regulaciones nacionales y locales sobre gestión de archivos y es una preservación a largo plazo. Según el artículo 44 del "Reglamento de asistencia jurídica de la República Popular China", las instituciones de asistencia jurídica deben establecer expedientes de casos de asistencia jurídica para registrar la información básica y las demandas de los beneficiarios de la asistencia jurídica, los abogados y sus opiniones, los resultados del manejo, etc. 下篇:

Artículos populares