BS 7799(ISO/IEC17799):即國(guó)際信息安全管理標(biāo)準(zhǔn)體系,2000年12月,國(guó)際標(biāo)準(zhǔn)化組織ISO正式發(fā)布了有關(guān)信息安全的國(guó)際標(biāo)準(zhǔn)ISO17799,這個(gè)標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分,是參照英國(guó)國(guó)家標(biāo)準(zhǔn)BS7799而來(lái)的。它是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn),包括安全內(nèi)容的所有準(zhǔn)則,由十個(gè)獨(dú)立的部分組成,每一節(jié)都覆蓋了不同的主題和區(qū)域。

 
    由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)編寫的信息安全管理體系標(biāo)準(zhǔn)BS 7799-Part 1 (ISO 17799) 及BS 7799-Part 2為各種機(jī)構(gòu)、企業(yè)進(jìn)行信息安全管理提供了一個(gè)完整的管理框架。這一套‘姊妹對(duì)’標(biāo)準(zhǔn)引導(dǎo)機(jī)構(gòu)、企業(yè)建立一個(gè)完整的信息安全管理體系,對(duì)信息安全進(jìn)行動(dòng)態(tài)的、以分析機(jī)構(gòu)及企業(yè)面臨的安全風(fēng)險(xiǎn)為起點(diǎn)對(duì)企業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)的、全面的、有效的、不斷改進(jìn)的管理,并強(qiáng)調(diào)信息安全管理的目的是保持機(jī)構(gòu)及企業(yè)業(yè)務(wù)的連續(xù)性不受信息安全事件的破壞,要從機(jī)構(gòu)或企業(yè)現(xiàn)有的資源和管理基礎(chǔ)為出發(fā)點(diǎn),建立信息安全管理體系(ISMS),不斷改進(jìn)信息安全管理的水平,使機(jī)構(gòu)或企業(yè)的信息安全以最小代價(jià)達(dá)到需要的水準(zhǔn)。保護(hù)信息安全,建立信息安全管理體系是機(jī)構(gòu)或企業(yè)營(yíng)運(yùn)的重要工作之一,尤其是BS 7799-2: 2002是目前最完整的參考依據(jù),它以“計(jì)劃(Plan)、實(shí)施(Do)、檢查(Check)、行動(dòng)(Action)”模式,將管理體系規(guī)范導(dǎo)入機(jī)構(gòu)或企業(yè)內(nèi),以達(dá)到“持續(xù)改進(jìn)”的目的。

 
    隨著在世界范圍內(nèi)信息化水平的不斷發(fā)展和貿(mào)易全球一體化的不斷普及和深入,信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對(duì)其信息系統(tǒng)不斷增長(zhǎng)的依賴性,加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì),使得信息安全管理成為企業(yè)管理越來(lái)越關(guān)鍵的一部分;在很多的場(chǎng)合,它已經(jīng)成為一個(gè)組織生死存亡或貿(mào)易虧盈成敗的起決定性的因素,因此信息安全逐漸成為人們關(guān)注的焦點(diǎn)。世界范圍內(nèi)的各國(guó)家、機(jī)構(gòu)、組織、個(gè)人都在探尋如何保障信息安全的問(wèn)題,各相關(guān)部門和研究機(jī)構(gòu)也紛紛投入相當(dāng)?shù)娜肆Α⑽锪�和資金試圖來(lái)解決信息安全問(wèn)題。

 
    在組織的決策者想方設(shè)法保障本組織的信息安全的同時(shí),破壞方總能道高一尺,魔高一丈,數(shù)不勝數(shù)的計(jì)算機(jī)病毒、防不勝防的電腦黑客、各類層出不窮的泄密事故就是明證。就拿我國(guó)來(lái)說(shuō),近年來(lái)也接連不斷地出現(xiàn)了程度不同的信息安全事件,這些事件不僅僅是簡(jiǎn)單的信息系統(tǒng)癱瘓的問(wèn)題,其直接后果是導(dǎo)致巨大的經(jīng)濟(jì)損失,還造成了不良的社會(huì)影響。如果說(shuō)經(jīng)濟(jì)損失還能彌補(bǔ),那么由于信息網(wǎng)絡(luò)的脆弱性而引起的公眾對(duì)網(wǎng)絡(luò)社會(huì)的誠(chéng)信危機(jī)則不是短時(shí)期內(nèi)可能恢復(fù)的。