BS 7799(ISO/IEC17799):即國際信息安全管理標準體系,2000年12月,國際標準化組織ISO正式發布了有關信息安全的國際標準ISO17799,這個標準包括信息系統安全管理和安全認證兩大部分,是參照英國國家標準BS7799而來的。它是一個詳細的安全標準,包括安全內容的所有準則,由十個獨立的部分組成,每一節都覆蓋了不同的主題和區域。

 
    由英國標準協會(BSI)編寫的信息安全管理體系標準BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機構、企業進行信息安全管理提供了一個完整的管理框架。這一套‘姊妹對’標準引導機構、企業建立一個完整的信息安全管理體系,對信息安全進行動態的、以分析機構及企業面臨的安全風險為起點對企業的信息安全風險進行動態的、全面的、有效的、不斷改進的管理,并強調信息安全管理的目的是保持機構及企業業務的連續性不受信息安全事件的破壞,要從機構或企業現有的資源和管理基礎為出發點,建立信息安全管理體系(ISMS),不斷改進信息安全管理的水平,使機構或企業的信息安全以最小代價達到需要的水準。保護信息安全,建立信息安全管理體系是機構或企業營運的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的參考依據,它以“計劃(Plan)、實施(Do)、檢查(Check)、行動(Action)”模式,將管理體系規范導入機構或企業內,以達到“持續改進”的目的。

 
    隨著在世界范圍內信息化水平的不斷發展和貿易全球一體化的不斷普及和深入,信息系統在商業和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統不斷增長的依賴性,加上在信息系統上運作業務的風險、收益和機會,使得信息安全管理成為企業管理越來越關鍵的一部分;在很多的場合,它已經成為一個組織生死存亡或貿易虧盈成敗的起決定性的因素,因此信息安全逐漸成為人們關注的焦點。世界范圍內的各國家、機構、組織、個人都在探尋如何保障信息安全的問題,各相關部門和研究機構也紛紛投入相當的人力、物力和資金試圖來解決信息安全問題。

 
    在組織的決策者想方設法保障本組織的信息安全的同時,破壞方總能道高一尺,魔高一丈,數不勝數的計算機病毒、防不勝防的電腦黑客、各類層出不窮的泄密事故就是明證。就拿我國來說,近年來也接連不斷地出現了程度不同的信息安全事件,這些事件不僅僅是簡單的信息系統癱瘓的問題,其直接后果是導致巨大的經濟損失,還造成了不良的社會影響。如果說經濟損失還能彌補,那么由于信息網絡的脆弱性而引起的公眾對網絡社會的誠信危機則不是短時期內可能恢復的。