一、 相关信息安全标准

    目前国际上通行的与网络和信息安全有关的标准，可分成三类。 　　

    1． 互操作标准

    如对称加密标准DES、3DES、 IDEA以及被普遍看好的AES; 非对称加密标准RSA; VPN标准IPSec; 传输层加密标准SSL; 安全电子邮件标准S-MIME; 安全电子交易标准SET；通用脆弱性描述标准CVE。这些都是经过一个自发的选择过程后被普遍采用的算法和协议，是所谓的“事实标准”。

    2． 技术与工程标准

    （1）信息产品通用测评准则（ISO 15408）

    ISO/IEC15408旨在支持产品（最终是指已经在系统中安装了的产品）中IT安全特征的技术性评估。它还有一个重要作用，即可以用于描述用户对安全性的技术需求。

    （2）安全系统工程能力成熟度模型（SSE-CMM）

    该模型定义了一个安全工程过程应有的特征，这些特征是完善的安全工程的根本保证。

    （3）信息系统软件过程评估（ISO/IEC 15504）

    提供了一个软件过程评估的框架。它可以被任何组织用于软件的设计，管理，监督，控制以及提高获得、供应、开发、操作、升级和支持的能力。 它提供了一种结构化的软件过程评估方法。

    （4）信息和相关技术控制目标（COBIT）

    是安全与信息技术管理和控管的标准。COBIT归纳了世界上18项相关的来源，形成了一套专供企业经营者、使用者、IT专家、MIS稽核员和安控业者来强化和评估IT管理和控制之规范。

    （5） 系统与软件整合层次（ISO 15026）。

    （6） 美国TCSEC（桔皮书）

    该标准为计算机安全产品的评测提供了测试内容和方法，指导信息安全产品的制造和应用。它将安全分为4个方面（安全政策、可说明性、安全保障和文档）和7个安全级别（从低到高依次为D、C1、C2、B1、B2、B3和A级）。

    3． 网络与信息安全管理标准

    （1）信息安全管理体系标准（BS 7799，其中第一部分成为ISO/IEC 17799）。

    （2）信息安全管理标准（ISO 13335）

    《IT安全管理方针》系列（第一至第五部分），已经在国际社会中开发了很多年。5个部分组成分别如下： ISO/IEC13335-1:1996《IT安全的概念与模型》；ISO/IEC13335-2:1997《IT安全管理和计划制定》；ISO/IEC13335-3:1998《IT安全管理技术》；ISO/IEC13335-4:2000《安全措施的选择》；ISO/IEC13335-5《网络安全管理方针》（目前尚未正式公布）。

    4． 我国采用的标准

    我国主要采用与国际标准靠拢的方式。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等。

    二、 建议银行管理导入BS 7799

    BS7799由英国标准机构于1995年2月提出、1999年5月修订，它广泛地涵盖了所有的安全议题，是一个非常详尽甚至有些复杂的信息安全标准。

    BS 7799提供一个开发组织安全标准、有效安全管理实施的公共基础，还提供了组织间交易的可信度。它主要是告诉管理者一些安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这恰巧符合信息安全的“七分管理，三分技术”的原则。这些管理规定一般的单位都可以制定，但要想达到BS 7799的全面性则需要一番努力。

    1．目的

    根据官方的报告，ISO/IEC17799的目的是“为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信”。作为一个通用的信息安全管理指南，ISO/IEC17799的目的并不是告诉你有关“怎么做”的细节，它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明，它是“制订一个机构自己的标准时的出发点”。

    2．内容

    BS 7799共分为两部分：第一部分是《信息安全管理操作规则》，主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全；第二部分是《信息安全管理系统规范》（ISMS)，详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。BS 7799由三个主段落组成，即总则、系统要求和控制，可分为强制性过程和选择性控制。其中32个目标和109项控制，公司可根据自己的实际需要进行选用。BS 7799包括安全内容的所有准则，由十个独立的部分组成，含有如下内容。

    （1）安全政策：目标在于提供管理的方向来保障信息安全。

    （2）安全组织：目标包括企业内信息安全的管理、维持处理组织安全的相关设施与信息资产由一个可靠的第三单位所控管，维持当信息处理程序外包给其他组织时的安全。

    (3)资产分类与控制：是为了维持对企业资产适当的保护及确保信息资产可得到一个相当程度的保障。

    (4)人员安全：为了降低人为错误、窃取、欺骗及滥用相关设施的风险，来确保使用者意识到信息安全的威胁; 为了确保在正常工作程序中信息的安全与降低安全意外事件的损害并从其中学得相关经验。

    （5）物理与环境安全：主要是为了避免未授权之存取、破坏与影响企业的建筑或信息；避免对信息及其处理设施的破坏或窃取。

    （6）计算机与网络管理：确保安全信息处理设备之正确运作; 把系统的失误降到最低; 保护软件和信息的真确性；维持信息处理与通信的正确性与可用性；确保信息在网络上的保全与保护支持的基础建设; 避免对资产的损害与中断企业活动; 避免信息在组织间传递时的中断、篡改与误用。

    （7）系统存取控制：信息存取控制；避免信息系统未授权之存取; 网络服务的保护; 避免计算机未授权之存取; 侦测未授权之活动; 确保电信网络设施的安全。

    （8）系统开发与维护：确保安全被内建在运作的系统中；避免使用者资料在应用系统中被中断、篡改与误用；保护信息的授权、机密性与真确性；确保所有的IT项目与相关支持活动都在安全的考量下进行；维护应用系统软件与资料的安全。

    （9）企业持续运作规划：要降低对企业活动的阻碍与防止关键企业活动受到严重故障或灾害的影响。

    （10）合规性：避免违反民、刑事法律、规范或任何安全要求契约上的义务；确保系统运作遵循组织的安全政策与标准；让系统稽核过程的效能极大化、影响最小化。

    BS7799是一套相当复杂的信息安全应用与评估的标准，但不外乎是所谓“控制”的观念。“控制”的定义是: 一套完整的政策、程序、实施与组织化的架构，用来提供合理的保障使企业目标得以达成，并避免、侦测或修正无法预期事件所造成的后果。而IT 控制所要达成的目标是藉由应用在某特定IT活动中的控制程序，来达成可预期的结果或目的。

    3．BS 7799的信息管理过程

    确定信息安全管理方针，确定ISMS(信息安全管理体系)的范围，进行风险分析，选择控制目标并进行控制，建立业务持续计划，建立并实施安全管理体系，如图所示。

    三、 结论

    ISO/IEC 17799 及BS7799 标准系列是一个管理系统的验证规范， 因此推展方法需依循“PDCA”

    (Plan-Do-Control-Action)循环持续改善，订定政策、管理审查、文件管制、内部稽核等均为其要项。其与一般管理系统的不同在于信息安全管理着重在风险评估及管理，并选择适当控制措施，将组织损失降到最低。风险评估的过程不是一段时间的工作，而是需要随着科技及组织的变化持续改善的过程。组织实施BS7799 标准并不表示信息安全受到绝对的保护，而是确保组织本身的信息安全价值、风险等已确实评估，并进行有效的控制与管理。

    要遵循此规范即使对最有安全概念的机构来说也不是一件简单的事，但银行业责无旁贷。安全已是一股不可违逆的潮流，所有的机构或企业已不是“做”与“不做”的问题，而是必须尽早实施的问题。企业应权衡自身承受安全的风险与成本，订定出一套符合本身需求的安全政策，改善自身的营运体制，以符合国际安全标准与世界潮流。