BS7799第二部分6月改版

電腦報記者/ 高雅欣

英國標準協會（BSI）以發行品質管理系統標準聞名，在1995年提出的資訊安全管理標準稱為BS7799國際資訊安全系統規範，BSI大中國訓練部經理蒲樹盛表示，第二部分被提出之後，在2002年進行第一次改版，預計在今年做第二次例行性的改版。預計將增加14到17個控制項，項目可能包括無線網路、漏洞修補、人力資源安全、虛擬與環境安全、資訊處理安全、存取的控制與安全、溝通與營運管理、業務延續管理等等，確定的項目6月會正式公布。

BS7799的目的在於保護與管理企業資訊與檔案資料，指導並建立一個資訊安全管理系統，確保企業資訊的控制與管理。BS7799總共包含10大章節、36個執行目標和127個控制項目，管理內容包括導入單位應該採取哪些管制措施，這在BS7799的第一部分「資訊安全的操作準則」已經提出說明。

而這次改版的第二部分則是指資訊安全管理系統的管理規範。BSI指出，所謂的第一部分大家可以視為參考書，第二部分是教科書，一旦教科書更改，下一步參考書也就是第一部分會跟著更改，預計在今年年底前開始。

從新增項目的確可以看出資安環境的變化，反應企業資安需求的轉變與趨勢。至於對已經導入的客戶有沒有影響?BSI表示，認證本身只有3年期限，客戶每半年就必須接受定期檢驗，因此對於已經導入的客戶影響並不大，因為在評估與建議的同時，很多選項已經被納入，其中就包括這次要新增的部分，客戶對於新增項目並不會太陌生，預計會經過9個月到1年的調適期。

但用戶的確需要做一個換證的動作，透過顧問對新增項目進行評估，通過之後就可以換成新版本的認證。以最近陸續仍有不少單位將接受顧問，企業可以視導入需求的緊急程度評估是否要等改版後再進行。