BS7799

简介

1998年英国发布标准的第二部分BS 7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的依据。BS7799-1与BS7799-2经历修订于 1999年从新给予公布，1999版考虑了信息处理技术，特别是在网络和通信领域应用的最近发展，同期还非常强调了商务涉及的信息安全及信息安全的责任。 2000年12月，BS7799-1：1999《信息安全管理实行细则》通过了国际标准化组织ISO的认可，正式形成国际标准----- ISO/IEC17799-1：2000《信息技术-信息安全管理实行细则》。2002年9月5号，BS7799-2:2002草案经历大量的讨论之后，终于公布形成正式标准，同期BS7799-2:1999被废止。当下，BS7799标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。根据BS 7799-2: 2002建立信息安全管理体系并得到认证正形成世界潮流。在某些行业如IC和软件外包，信息安全管理体系认证已形成一部分客户的要求条件之一。商业风险管理--信息安全管理体系BS7799

现代企业对信息的依靠越来越大，没有各种信息的支持，企业就不能发展。实际上，信息已形成现代企业的种重要资产，形成企业成功的核心所在。该种资产，更需要加以妥善保护。否则,或许受于人士的原因（疏忽、跳槽、损坏）、竞争对手原因（商业间谍、收买、盗窃、网络攻击）和自然灾害（火灾、水灾、地震）等 原因，在一瞬间被毁灭、消失、损坏、盗窃、贬值、转移，给企业导致致命的冲击。

信息： 不仅仅是计算机、网络有关的报告、资料，也包含： 专利 商业档案 文件 标准 专有技术 客户资料 数据统计 图样 配方报价 规章制度 财务报告 工艺 计划 资源配置 管理体系应用

使商业风险减弱到可接受的水准？

发达国家经历多年的研究， 已形成完善的信息安全管理方法，并用可以广泛采取的标准形式表达出来，即： BS7799 --信息安全管理体系（ISO/IEC 17799).

对信息执行风险管理的目的？

使信息风险的发生几率和结果减弱到可接受收水平，并采取措施保证业务不会因风险的发生而中止。

BS 7799 的信息管理过程

确定信息安全管理方针

确定ISMS(信息安全管理体系)的规模

执行风险分析

选择控制目标并执行控制

建立业务连续计划

建立并实行安全管理体系发展现况和适用规模

当前，已有20多个国家引用BS 7799-2作为国标，BS 7799(ISO/IEC17799)也是出售拷贝最多的管理标准，其在欧洲的证书发放量已经胜过ISO9001。并有41 个国家和地区开展了此项业务， 我国的台湾和香港地区也已经采取并推广了BS7799 标准。在台湾，BS7799-1:1999 被引用为CNS 17799，而BS7799-2:2002 则被引用为CNS 17800。在中国大陆， BS7799 标准全面解析（ISMG-005）的国标化一直是个热点议题，而有关的ISMS 认证工作正在试点运行。 BS7799标准从正式公布到当下的十年时间里，世界接受而且依照BS7799 最佳实践来实行ISMS 的组织高达了差不多10 万家，其中很多均为国际上知名的企业，比如富士通、KPMG、Insight、三星电子、东芝、索尼、Symantec 等。依据ISO/IEC 17799（BS 7799）国际运用者协会的最新统计，到2005年4月，世界通过信息安全管理体系BS 7799-2认证的组织已经胜过1200家。证书首要汇聚在日本、英国、印度、台湾。证书的行业分布首要在政府、金融、通信、电子、物流等行业。 信息安全对每个企业或组织来看均为需要的，所以信息安全管理体系认证具有广泛的适用性，不受地域、产业类别和公司范围制约。从当前的得到认证的企业情形看，较多的是涉及电信、保险、银行、报告处理中心、IC制造和软件外包等的企业。