BS 7799标准概述

    BS7799标准是由英国标准协会（BSI）制定的信息安全管理标准，是目前国际上具有代表性的信息安全管理体系标准，标准包括如下两部分： BS7799-1：1999 《信息安全管理实施细则》 BS7799-2：2002 《信息安全管理体系规范》 BS7799-1：1999 《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则， 主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。BS7799-2：2002 《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合： 组织按照本标准要求建立并实施信息安全管理体系，进行有效的信息安全风险管理，确保商务可持续性发展； 作为寻求信息安全管理体系第三方认证的标准。 BS7799标准第二部分明确提出安全控制要求，标准第一部分对应给出了通用的控制方法（措施），因此可以说，标准第一部分为第二部分的具体实施提供了指南。但标准中的控制目标、控制方式的要求并非信息安全管理的全部，组织可以根据需要考虑另外的控制目标和控制方式。 其中BS7799-1：1999 于2000年12月通过国际标准化组织（ISO）认可，正式成为国际标准，即ISO/IEC17799：2000 《信息技术-信息安全管理实施细则》。 “组织”这一术语贯穿BS 7799标准的始终，它既包括盈利组织，也包括非盈利组织，如公共部门或公共组织。