BS7799(ISO/IEC17799)：即国际信息安全管理标准体系，2000年12月，国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799，这个标准包括信息系统安全管理和安全认证两大部分，是参照英国国家标准BS7799而来的。它是一个详细的安全标准，包括安全内容的所有准则，由十个独立的部分组成，每一节都覆盖了不同的主题和区域。

　　BS7799的来历

　　BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。

　　1998年英国公布标准的第二部分BS7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。

　　2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。

　　2002年9月5日，BS7799-2：2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS7799-2：1999被废止。现在，BS7799标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。依据BS7799-2：2002建立信息安全管理体系并获得认证正成为世界潮流。在某些行业如IC和软件外包，信息安全管理体系认证已成为一些客户的要求条件之一。

　　BS7799内容介绍

　　BS7799-2：2002标准详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤：

　　(1)定义信息安全策略。

　　信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略。例如，规模较小的组织单位可能只有一个信息安全策略，并适用于组织内所有部门、员工；而规模大的集团组织则需要制

　　订一个信息安全策略文件，分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂，并形成书面文件，发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训，对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。

　　(2)定义ISMS的范围。

　　ISMS的范围确定需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。

　　(3)进行信息安全风险评估。

　　信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素，组织在进行信息资产风险评估时，需要将直接后果和潜在后果一并考虑。

　　(4)信息安全风险管理。

　　根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施：

　　降低风险：在考虑转嫁风险前，应首先考虑采取措施降低风险；

　　避免风险：有些风险很容易避免，例如通过采用不同的技术、更改操作流程、采用简单的技术措施等；

　　转嫁风险：通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。

　　接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。

　　(5)确定管制目标和选择管制措施。

　　管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程，组织应实时对选择的管制目标和管制措施加以校验和调整，以适应变化了的情况，使组织的信息资产得到有效、经济、合理的保护。

　　(6)准备信息安全适用性声明。

　　信息安全适用性声明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备，一方面是为了向组织内的员工声明对信息安全面对的风险的态度，在更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统地审视了组织的信息安全系统，并将所有有必要管制的风险控制在能够被接受的范围内。

　　BS7799认证产生背景

　　由英国标准协会(BSI)编写的信息安全管理体系标准BS7799-Part1(ISO17799)及BS7799-Part2为各种机构、企业进行信息安全管理提供了一个完整的管理框架。这一套‘姊妹对’标准引导机构、企业建立一个完整的信息安全管理体系，对信息安全进行动态的、以分析机构及企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理，并强调信息安全管理的目的是保持机构及企业业务的连续性不受信息安全事件的破坏，要从机构或企业现有的资源和管理基础为出发点，建立信息安全管理体系(ISMS)，不断改进信息安全管理的水平，使机构或企业的信息安全以最小代价达到需要的水准。保护信息安全，建立信息安全管理体系是机构或企业营运的重要工作之一，尤其是BS7799-2：2002是目前最完整的参考依据，它以”计划(Plan)、实施(Do)、检查(Check)、行动(Action)“模式，将管理体系规范导入机构或企业内，以达到”持续改进“的目的。

　　随着在世界范围内信息化水平的不断发展和贸易全球一体化的不断普及和深入，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分；在很多的场合，它已经成为一个组织生死存亡或贸易亏盈成败的起决定性的因素，因此信息安全逐渐成为人们关注的焦点。世界范围内的各国家、机构、组织、个人都在探寻如何保障信息安全的问题，各相关部门和研究机构也纷纷投入相当的人力、物力和资金试图来解决信息安全问题。

　　在组织的决策者想方设法保障本组织的信息安全的同时，破坏方总能道高一尺，魔高一丈，数不胜数的计算机病毒、防不胜防的电脑黑客、各类层出不穷的泄密事故就是明证。就拿我国来说，近年来也接连不断地出现了程度不同的信息安全事件，这些事件不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响。如果说经济损失还能弥补，那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。

　　安全是一种”买不到“的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的，因此，一些企业虽然安装了一些安全产品，但并不等于拥有了一个真正的安全体系。而且相关调查数据显示，超过75%的信息系统泄密和恶意攻击事件都是人为造成的，即由于信息安全管理的缺位而造成的。而技术本身实际上只是信息安全体系里的一小部分。不管一项技术有多先进，都只不过是辅助实现信息安全的手段而已。大部分的信息安全管理专家认为技术并不是不重要，但在信息安全的架构里，它一定要在好的信息安全管理的基础上，所以在业界素有三分技术，七分管理的说法。

　　正是在这样的世界大环境和学术界共同认同的原则下，各国的研究机构都纷纷研究和制定信息安全管理、风险评估、信息安全技术的标准，而英国标准化协会(BSI)，这个在全世界标准界负有盛名的机构，在成功地为ISO9000、ISO14000、OHSAS18000等世界着名的标准打好基础后，又一次在信息安全管理领域拔得头筹，其制定的BS7799信息安全管理标准又一次成为国际上最具权威的和最具代表性的标准。

　　早在1995年2月，英国标准协会(BSI)就提出制定信息安全管理标准，并迅速于1995年5月制订完成，且于1999年重新修改了该标准。BS7799分为两个部分：BS7799-1，《信息安全管理实施规则》；BS7799-2《信息安全管理体系规范》；其中BS7799-1：1999于2000年12月通过ISO/IECJTC1(国际标准化组织和国际电工委员会的联合技术委员会)认可，正式成为国际标准，即ISO/IEC17799：2000《信息技术-信息安全管理实施细则》。这是通过ISO表决最快的一个标准，足见世界各国对该标准的关注和接受程度。而在2002年9月5日英国标准化协会又发布了新版本BS7799-2：2002替代了BS7799-2：1999。

　　BS7799认证开展现状

　　尽管ISO/IEC17799是在很多国家的反对声中被采纳的，BS7799-1在转换成ISO/IEC17799的过程中受到了包括美国等很多发达国家的反对；尽管国际信息安全界对ISO/IEC17799的争议很多，而且目前已经有几个国家指出，ISO/IEC17799的某些部分与其国家法律存在着冲突，尤其是在隐私领域，但其普及和推广已是势不可当，到目前为止已有二十多个国家引用BS7799-2作为国标，BS7799(ISO/IEC17799)也是卖出拷贝最多的管理标准，越来越多的信息安全公司都以BS7799作指导为客户提供信息安全咨询服务。而且令人高兴的是ISO/IEC17799不久它就会出新版本。截至目前全球已有41个国家和地区的878个组织获得了BS7799-2的认证，其中日本最多408家，英国其次157家，中国有49家，其中大陆9家，台湾25家，香港15家。全球已获得BS7799-2认证资格的认证机构有26个，认可机构有3个，分别为欧洲认可联盟(EA)，国际认可联盟(IAF)以及英国的UKAS；目前我国还没有获得国际认可的认证机构。

　　信息安全管理体系的认证审核与环境、职业健康安全管理体系的审核类似，分两个阶段，多数认证机构在第三年需要进行重新审核，但BSI不需要。

　　BSI没有向ISO/IECJTC1提交BS7799-2，目前也没有迹象表明BSI是否会在将来提交。ISO/IECJTC1也还没有计划去制定ISO/IEC17799-2.在类似于ISO/IEC17799-2的标准被ISO/IECJTC1接受以前，不可能有”官方“的ISO/IEC17799认证项目。

　　BS7799-2信息安全管理体系(ISMS)审核员的注册由国际注册审核员协会(IRCA)进行，分四个等级，分别为实习审核员、审核员、主任审核员、首席审核员；其中首席审核员分为两种，一种为咨询师，一种为组长。