BS7799與等級保護系列標準對比研究

●王艷瑋，王閃閃（陜西師范大學 國際商學院；西安 710062）

BS7799是頒布較早且在包括我國在內的世界范圍內受到普遍關注和應用的信息安全管理標準。BS7799-1[1]和 BS7799-2[2]已經被國際標準化組織ISO采納，成為ISO/IEC27000系列信息安全標準族的主要標準之一。

我國國家質量技術監督局發布的GB17859-1999[3]《計算機信息安全保護等級劃分準則》，是建立安全等級保護制度、實施安全等級管理的重要基礎性國家標準。目前已發布GB22239、GB22240、GB20269、GB20270、GB20271等配套標準十余個。

本文對BS7799和等級保護系列標準進行對比研究，旨為等級保護系列標準的進一步完善提供建議。

1 標準概述

1.1 BS7799

BS7799由英國標準協會（British Standards Institute，BSI） 于1995年頒布，分為兩部分。BS7799-1是信息安全管理實施細則，主要提供了信息安全最佳實踐的匯總集，最初從10個方面定義了127項控制措施。BS7799-1幾經改版，最終轉化為ISO/IEC17799：2005，2007年編號改為ISO/IEC27002，其內容也增加到11個方面的133項控制措施。BS7799-2是建立信息安全管理體系（ISMS）的管理要求和規范，指導相關人員如何去應用BS7799-1。BS7799-2規定了組織基于PDCA模型建立、實施、運行、監視、評審、保持和改進ISMS的總要求及相關文件要求，并規定了在這個過程中的管理職責和管理評審要求。

1.2 等級保護系列標準

我國等級保護系列標準主要包括GB17859-1999《計算機信息系統安全等級保護劃分準則》及其配套的定級指南、基本要求、實施指南、測評要求等標準。其中GB17859是這一系列標準中的基礎性標準，該標準共包含5個安全等級，定義了不同等級信息系統的安全保護能力，從第一級至第五級對信息系統安全保護能力的要求逐漸增強。等級保護基本要求標準主要規定了對不同等級信息系統的保護能力的要求，分為技術和管理兩個方面。等級保護定級指南主要介紹了定級原理、定級方法和等級變更的內容。等級保護實施指南標準為等級保護的實施給出了詳細的說明和指導，包括從信息系統定級、總體安全規劃、安全設計與實施、安全運行與維護到信息系統終止的每一個過程。信息安全等級保護測評準則提出了為驗證計算機信息系統是否滿足信息安全等級保護必須執行的測評工作要求，主要針對安全技術和安全管理各個層面的安全控制分別提出了不同安全等級的測試評估要求。

2 BS7799與我國等級保護系列標準的比較研究

本文主要從標準涉及的內容、發展歷程、實施流程、涵蓋范圍、實施對象及綜合應用現狀等五個方面對兩類標準進行比較研究。

2.1 發展歷程

BS7799是英國標準協會于1995年頒布的針對信息安全管理制定的一個標準。BS7799最初是由英國貿工部（DTI）立項，經業界、政府和商業機構共同倡導的，旨在開發一套可供開發、實施和測量有效信息安全管理慣例并提供貿易伙伴間信任的通用框架。1995年，《BS7799-1：1995》首次出版，1998年，BSI頒布了《信息安全管理體系規范》（BS7799-2：1998）。隨著BS7799在越來越多的國家得到廣泛的認可與應用，2000年12月，國際標準化組織ISO/IEC JTC 1/SC27工作組認可《BS7799-1：1999》，正式將其轉化為國際標準，即《信息技術—信息安全管理實施細則》（ISO/IEC 17799：2000）。2005年 6月15日修訂版《ISO/IEC17799：2005》發布，原來版本廢止。同時 BS7799-2轉化為 ISO/IEC27001，于 2005年 10月15日正式發布。

GB17859-1999《計算機信息系統安全保護等級劃分準則》于1999年9月13日經國家質量技術監督局發布，并于2001年1月1日起實施。GB17859-1999的制定主要參考了美國的TCSEC。1983年美國國防部首次公布了《可信計算機系統評估準則》（TCSEC），這是IT歷史上的第一個安全評估標準。TCSEC主要規范了計算機應用系統和產品的安全要求，側重于對保密性的要求。它把安全分為安全策略、責任、保證和文檔4個方面和8個安全級別，著重點是基于大型計算機系統的機密文檔處理應用方面的安全要求。GB17859吸取了TCSEC分等級保護的基本思想，并根據我國的信息安全需要進行了改進和完善，把計算機信息系統安全保護能力精簡為更具可操作性的5個等級。

從兩個標準的產生背景可以看出，BS7799旨在建立可供貿易伙伴間彼此信任的可有效開發、實施和測量信息安全慣例的通用框架，主要應用于工商業企業及大中小型組織。BS7799側重于管理要求，雖然后來的改版充分考慮了信息處理技術的發展，但BS7799中沒有涉及對系統和產品技術指標的評估，總體上是偏重于管理的信息安全標準。GB17859-1999是為了從整體上形成多級信息系統安全保護體系，提高我國計算機信息系統安全保護水平。由公安部提出并組織制定的強制性國家標準，主要借鑒了TCSEC的分等級保護思想，對重要信息系統進行重點保護。GB17859的文本中更明確說明該標準的制定目的主要有三個：一是為計算機信息系統安全法規的制定和執法部門的監督檢查提供依據，二是為安全產品的研制提供技術支持，三是為安全系統的建設和管理提供技術指導，因此GB17859-1999及其配套的等級保護標準體系是綜合技術要求和管理要求的全面評估標準。

2.2 實施流程

BS7799主要遵循風險管理的思想，通過識別和評估風險來建立組織的信息安全管理體系（ISMS），并應用PDCA模型對ISMS進行實施、運行、監視、評審、保持與改進。首先根據組織的業務特征、地理位置、資產、技術等要素來確定ISMS的范圍和ISMS方針。組織對ISMS范圍內的資產進行風險識別后，通過風險分析選擇風險處理的控制目標和控制方式。其次，實施和運行ISMS。這一階段的工作主要包括實施風險處理計劃、實施已選的控制措施、實施培訓方案、管理ISMS的運行、管理ISMS的資源、及時檢測、響應安全事故等。再次，監視和評審ISMS。組織應執行監視和評審程序，定期審核ISMS的有效性，按照計劃的時間進行風險評估并評估殘余風險的等級和已識別的可接受風險，記錄可能影響ISMS有效性或業績的措施和事件。最后，保持和改進ISMS。主要包括采取適當的糾正和預防措施，總結組織取得的安全經驗教訓，對已采取的措施和改進意見與所有相關方進行溝通等。

等級保護的實施主要包括五個步驟。第一步：信息系統定級。從業務信息安全和系統服務安全兩大方面來確定定級對象的安全等級，形成定級報告。第二步：進行基本安全需求分析，按照不同等級的評價指標制定評估方案，對于重要資產進行特殊安全需求分析并進行綜合風險評估，形成總體安全規劃。第三步：從技術和管理兩大方面進行安全設計并實施。第四步：安全運行和維護。主要包括運行管理控制、變更管理控制、安全狀態監控、安全時間處置和應急預案、安全檢查和持續改進、等級測評等。第五步：信息系統終止。當信息系統被轉移、終止或廢棄時，應對有關信息進行轉移、暫存和清除，對有關設備進行遷移或廢棄，對存儲介質進行清除或銷毀。

BS7799與等級保護標準在安全需求分析階段的流程有所不同，見圖1和圖2。

圖1 BS7799安全需求分析流程

圖2 等級保護安全需求分析流程

BS7799遵循風險評估的方法，通過對ISMS范圍內的資產、資產面臨的威脅、資產本身的脆弱性以及可能被威脅利用的脆弱點進行識別，選擇適用于組織的風險評估方法或模型進行風險估算，分析評價風險并選擇控制目標和控制措施。

等級保護的安全需求分析首先是對信息系統進行描述，主要包括系統邊界、網絡拓補、設備部署等，對于大型的信息系統要在綜合分析的基礎上進行劃分，確定可作為定級對象的信息系統個數。信息系統的定級由受侵害客體和對客體的侵害程度兩個因素決定，通過綜合判定客體的受侵害程度來確定系統的安全保護等級。在等級確定之后從信息系統安全等級保護基本要求中選擇相應的等級評價指標，通過現場觀察、詢問、檢查、測試等方式進行評估，確定信息系統安全保護的基本需求。對于有特殊保護要求的信息系統重要資產，其安全需求分析則采用風險評估的方法來進行。

2.3 涵蓋范圍

BS7799-1（現為ISO/IEC27002） 包括10個主要的安全類別，匯集了33個安全控制目標和127項安全控制措施，涉及信息安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統的獲取、開發和維護、信息安全事故管理、業務連續性管理和符合性規定等方面。

等級保護標準從技術和管理兩大方面對每一級的信息系統安全保護能力提出了不同的要求。技術要求主要包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等，管理要求包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等。總的來說，BS7799更多地體現了信息安全管理方面的要求，等級保護標準則全面地包含了管理和技術兩方面的要求。

2.4 實施對象與應用現狀

BS7799覆蓋了所有類型的組織（如商業企業、政府機構和非盈利組織），涉及的范圍遍布整個系統或組織，包括所有的信息系統及其外部接口。但是BS7799主要處理的是與IT系統相關的非技術問題，包括人員、過程、物理安全管理等，適用于各種類型的安全組織，公共的或私人的部門和任何商業環境。信息安全等級保護是我國信息安全保護的基本制度，GB17859-1999是我國第一部信息安全保護強制性國標，主要保護國家重要領域的高級別信息系統、國家基礎信息網絡和重要信息系統的安全。國家實行信息系統安全等級保護的形式有國家意志、政府主導、科研單位和企業及社會廣泛參與等，涉及的部門有信息系統主管部門、信息系統運營、使用單位、安全服務提供方、安全產品提供方、測試評估機構、信息安全監管部門等。

2005年BS7799轉化為ISO/IEC27001至今世界上已有73個國家的5206家企業通過了ISO27001認證。我國的等級保護工作也在逐步開展中。2005年12月28日公安部與國信辦下發《關于開展信息系統安全等級保護基礎調查工作的通知》，要求2006年在全國范圍內開展信息安全等級保護基礎調查工作；在調研的基礎上，2006年6月15日公安部、國家保密局、國家密碼管理局和國信辦發布了《關于開展信息安全等級保護試點工作的通知》，試點單位包括北京、山西、上海等13個省、市、自治區以及中組部、中聯部、航天科技集團等3個部門。[4]試點工作驗證了等級保護工作理論政策的正確性，并對有關標準提出了很多修改意見，有助于標準的進一步成熟與完善。

2.5 標準的綜合應用

BS7799-2轉化為ISO/IEC27001:2005之后，采用與ISO9001、ISO14001等國際知名管理體系標準相同的風格，使組織的信息安全管理體系更容易和其他管理體系相協調，有利于管理的標準化和規范化。但是BS7799也有其自身存在的問題。首先，在BS7799的10個核心控制領域中，沒有對任何一個領域或控制目標的權重分配，因此在進行風險 評估時，沒有一個標準依據來對這127項控制目標進行加權，不同的評估人員得出的評估結果可能也不相同。其次，BS7799中沒有劃分評估等級，無法體現對重要信息系統的重點保護，特別是面對一個大型的信息系統時，識別所有的資產及威脅要耗費大量的時間。因此組織在實施BS7799的過程中，可以學習和借鑒等級保護、重點保護的原則，對大型的信息系統先進行系統劃分，選出支持關鍵業務的重要信息系統，在此基礎上再進行風險評估和安全需求分析。

等級保護的定級主要是通過對受侵害客體和客體的受侵害程度兩個因素來綜合評定的，基本安全需求的確定主要是通過等級保護基本要求中相應等級的指標來綜合評價。但是對于重要信息系統來說，簡單的觀察、詢問、測試以及指標評價無法滿足其特殊安全保護的需求，在此可以借鑒BS7799中風險評估的方法，對重要資產進行分析，對其脆弱點和面臨的威脅進行風險評估，進行綜合風險分析，最終確定其風險等級，實行相應的保護措施。

3 結束語

通過BS7799與等級保護標準的對比研究，發現兩類標準在內容、發展歷程、實施流程、涵蓋范圍、實施對象及應用現狀方面各有優勢，可以相互借鑒。建議我國信息安全標準化技術委員會組織工作組，細化等級保護標準對BS7799標準的借鑒內容，為ISO/IEC提供來自中國的建議稿，提升中國在國際標準中的地位。

[1] ISO/IEC17799：2005,Information Technology-Code of Practice for Information Security Management[S].2005：4－12.

[2] ISO/IEC27001：2005,Information Technology-Security Techniques-Information Security Management Systems-Requirements[S].2005：11－14.

[3]GB 17859.計算機信息系統安全保護等級劃分準則 [S].1999：1－6.

[4]崔書昆.解讀信息安全等級保護有關文件[J].信息網絡安全，2007（12）：14－15.