ISO/IEC 17799标准修订版使信息资产更安全

    ISO/IEC日前对其联合制定的一项标准进行了修订，该标准作为信息安全管理的国际基准服务于成长阶段的电子商务团体。

    修订版ISO/IEC 17799，信息技术—保密安全技术—信息保密安全管理惯例法规，吸纳了业界的最新发展成果，使之仍可作为国际标准惯例法规。

    现代互联电子商务环境是该标准的主要受益者，其信息正受到日益猖狂且花样繁多的威胁和攻击。

    ISO/IEC 17799:2005标准编制组组长泰德汉姆弗雷如此评论该修订标准：“该修订版标准为各组织提供许多以前没有的，经改进的信息保密安全最佳惯例。例如，更好地管理外部业务、外部采办和服务提供商的保密安全事务；增强事件处理能力；处理 patch 管理、移动设备、无线技术和通过互联网传播的有害手机代码等问题；改进了人力资源管理最佳惯例以及其它几个新亮点。”

    ISO/IEC 17799:2005是信息安全管理的惯例法规，而非认证标准，其设计初衷不为认证，因而也不适用于认证。今年第四季度将发布的 ISO/IEC 27001 （有望于2005年11月发布），“信息保密安全管理系统要求”可用于认证。

    新版标准强调尽最大可能保证信息的安全，提供商务最佳惯例、指南以及在任何组织实施、维护、管理信息安全，以任何形式生产和使用信息的一般原则。

    任何组织都有资产，而信息的各种存在形式是组织最为重要的资产，这些形式可以是打印的，以电子形式存储的，普通信件邮寄的或电子邮寄的，以视频为载体的或讲话中提到的。对于多数商务组织，信息安全是维持竞争优势、现金流、利益率、法律条文以及商业图表等的基础。但对于许多商务和大多数非商务组织来说，信息可能是其唯一资产，缺乏信息安全保障可能威胁到组织完整性，甚至事关存亡。

    ISO/IEC 17799:2005认识到纯粹以技术手段实现保密安全是极为有限的。所需安全级别的评定须依赖合适的管理控制和程序，通过评估风险级别及相应的突破安全所需费用来决定安全保密的实施费用。信息安全保密管理需要组织的所有员工的参与，有时还需股东、供应商、第三方和客户的参与。

    ISO/IEC 17799:2005确定信息保密安全控制要抓源头。它包括了关键的成功要素，信息保密安全工作的组织，资产管理，人力资源，物理和环境保密安全，通信和操作管理，信息系统采办，研制和维护，突发事件管理，业务持续管理和 守则 。该标准将成为不同类型和规模的组织（无论是公营还是民营）的基本工具。

    泰德汉姆弗雷说：“标准的使用者还可向业务伙伴、客户和供应商展示其信息的安全保密性，从而将其在信息保密安全方面的投资转化为商业机会。”

    “简而言之，修订版ISO/IEC 17799是目前已制定的信息保密安全管理方面最重要的标准，它建立了一个真正的国际上通用信息保密安全语言，使世界上任何组织都能相互开展业务。”