BS7799是信息安全管理體系要求的標(biāo)準(zhǔn)。它可以幫助公司識(shí)別，管理和減少信息通常所面臨的各種威脅.

BS7799的十個(gè)章節(jié)概述如下：

安全方針?。?為信息安全提供管理指導(dǎo)和支持。

安全組織　－　在公司內(nèi)管理信息安全。

資產(chǎn)分類與管理?。?duì)公司的信息資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)措施。

人員安全　－　減少人為錯(cuò)誤、偷竊、欺詐或?yàn)E用信息及處理設(shè)施的風(fēng)險(xiǎn)。

實(shí)體和環(huán)境安全?。》乐箤?duì)商業(yè)場(chǎng)所及信息未經(jīng)授權(quán)的訪問(wèn)、損壞及干擾。

通訊與運(yùn)作管理?。〈_保信息處理設(shè)施正確和安全運(yùn)行。

訪問(wèn)控制　－　管理對(duì)信息的訪問(wèn)。

系統(tǒng)的建立和維護(hù)?。〈_保將安全納入信息系統(tǒng)。

商業(yè)活動(dòng)連續(xù)性管理?。》乐股虡I(yè)活動(dòng)的中斷，并保護(hù)關(guān)鍵的業(yè)務(wù)過(guò)程免受重大故障或?yàn)?zāi)難的影響。

符合法律?。”苊膺`反任何刑法和民法、法律法規(guī)或合同義務(wù)以及任何安全要求。

使用BS7799作為信息安全管理標(biāo)準(zhǔn)，由BSI認(rèn)證。

一、什么是信息安全

牐犘畔安全（Information security）:是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。 保密性定義為保障信息僅僅為那些被授權(quán)使用的人獲取。 完整性定義為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性。 可用性定義為保障授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)。 信息的保密性是針對(duì)信息被允許訪問(wèn)（Access）對(duì)象的多少而不同，所有人員都可以訪問(wèn)的信息為公開(kāi)信息，需要限制訪問(wèn)的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級(jí)，例如國(guó)家根據(jù)秘密泄露對(duì)國(guó)家經(jīng)濟(jì)、安全利益產(chǎn)生的影響（后果）不同，將國(guó)家秘密分為秘密、機(jī)密和絕密三個(gè)等級(jí)，組織可根據(jù)其信息安全的實(shí)際，在符合《國(guó)家保密法》的前提下將其信息劃分為不同的密級(jí)；對(duì)于具體的信息的保密性有時(shí)效性，如秘密到期解密等。 信息完整性一方面是指信息在利用、傳輸、貯存等過(guò)程中不被篡改、丟失、缺損等，另一方面是指信息處理的方法的正確性。不正當(dāng)?shù)牟僮?，如誤刪除文件，有可能造成重要文件的丟失。 信息的可用性是指信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如通信線路中斷故障會(huì)造成信息的在一段時(shí)間內(nèi)不可用，影響正常的商業(yè)運(yùn)作，這是信息可用性的破壞。 不同類型的信息及相應(yīng)資產(chǎn)的信息安全在保密性、完整性及可用性方面關(guān)注點(diǎn)不同，如組織的專有技術(shù)、市場(chǎng)營(yíng)銷計(jì)劃等商業(yè)秘密對(duì)組織來(lái)講保守機(jī)密尤其重要；而對(duì)于工業(yè)自動(dòng)控制系統(tǒng)，控制信息的完整性相對(duì)其保密性重要得多。

二、為什么需要信息安全

　  信息、信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。 然而，越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、DoS攻擊等手段造成的信息災(zāi)難已變得更加普遍,有計(jì)劃而不易被察覺(jué)。 組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。 許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的，所以僅依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性，所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意細(xì)節(jié)。信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議。 在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮，則成本會(huì)更低、效率會(huì)更高。

三、建立信息安全管理體系的意義

　　組織可以參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)BS7799標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實(shí)施與保持，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性。 組織建立、實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用：

* 強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；

* 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；

* 在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度；

* 使組織的生意伙伴和客戶對(duì)組織充滿信心，

* 如果通過(guò)體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度；

* 促使管理層堅(jiān)持貫徹信息安全保障體系。

四、BS 7799標(biāo)準(zhǔn)概述

　　 BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定的信息安全管理標(biāo)準(zhǔn)，是目前國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，標(biāo)準(zhǔn)包括如下兩部分: BS7799-1:1999 《信息安全管理實(shí)施細(xì)則》 BS7799-2:2002 《信息安全管理體系規(guī)范》 BS7799-1:1999 《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則， 主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供的一個(gè)大眾化的最佳慣例。BS7799-2:2002 《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。即本標(biāo)準(zhǔn)適用以下場(chǎng)合: 組織按照本標(biāo)準(zhǔn)要求建立并實(shí)施信息安全管理體系，進(jìn)行有效的信息安全風(fēng)險(xiǎn)管理，確保商務(wù)可持續(xù)性發(fā)展； 作為尋求信息安全管理體系第三方認(rèn)證的標(biāo)準(zhǔn)。 BS7799標(biāo)準(zhǔn)第二部分明確提出安全控制要求，標(biāo)準(zhǔn)第一部分對(duì)應(yīng)給出了通用的控制方法（措施），因此可以說(shuō)，標(biāo)準(zhǔn)第一部分為第二部分的具體實(shí)施提供了指南。但標(biāo)準(zhǔn)中的控制目標(biāo)、控制方式的要求并非信息安全管理的全部，組織可以根據(jù)需要考慮另外的控制目標(biāo)和控制方式。 其中BS7799-1:1999 于2000年12月通過(guò)國(guó)際標(biāo)準(zhǔn)化組織（ISO）認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)，即ISO/IEC17799:2000 《信息技術(shù)-信息安全管理實(shí)施細(xì)則》。 “組織”這一術(shù)語(yǔ)貫穿BS 7799標(biāo)準(zhǔn)的始終，它既包括盈利組織，也包括非盈利組織，如公共部門(mén)或公共組織。

五、為什么說(shuō)信息安全認(rèn)證是實(shí)現(xiàn)信息安全目標(biāo)的最佳途徑？

燘S 7799-2：2002信息安全管理體系規(guī)范向組織提出了一系列認(rèn)證的要求，在總則中提出組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的渠道、控制目標(biāo)及控制方式和需要的保證等級(jí)；通過(guò)建立管理架構(gòu)并加以實(shí)施來(lái)達(dá)到識(shí)別控制目標(biāo)和控制方式，并形成文件和記錄。

燘S 7799-2：2002的控制細(xì)則包括十個(gè)部分。

1、 安全方針：為信息安全提供管理指導(dǎo)和支持；

2、 組織安全：建立信息安全架構(gòu)，保證組織的內(nèi)部管理；被第三方訪問(wèn)或外協(xié)時(shí)，保障組織的信息安全；

3、 資產(chǎn)的歸類與控制：明確資產(chǎn)責(zé)任，保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)；將信息進(jìn)行歸類，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)；

4、人員安全：在工作說(shuō)明和資源方面，減少因人為錯(cuò)誤、盜竊、欺詐和設(shè)施誤用造成的風(fēng)險(xiǎn)；加強(qiáng)用戶培訓(xùn)，確保用戶清楚知道信息安全的危險(xiǎn)性和相關(guān)事項(xiàng)，以便在他們的日常工作中支持組織的安全方針；制定安全事故或故障的反應(yīng)程序，減少由安全事故和故障造成的損失，監(jiān)控安全事件并從這種事件中吸取教訓(xùn)；

5、實(shí)物與環(huán)境安全：確定安全區(qū)域，防止非授權(quán)訪問(wèn)、破壞、干擾商務(wù)場(chǎng)所和信息；通過(guò)保障設(shè)備安全，防止資產(chǎn)的丟失、破壞、資產(chǎn)危害及商務(wù)活動(dòng)的中斷；采用通用的控制方式，防止信息或信息處理設(shè)施損壞或失竊；

6、通信和操作方式管理：明確操作程序及其責(zé)任，確保信息處理設(shè)施的正確、安全操作；加強(qiáng)系統(tǒng)策劃與驗(yàn)收，減少系統(tǒng)失效風(fēng)險(xiǎn)；防范惡意軟件以保持軟件和信息的完整性；加強(qiáng)內(nèi)務(wù)管理以保持信息處理和通訊服務(wù)的完整性和有效性通過(guò)；加強(qiáng)網(wǎng)絡(luò)管理確保網(wǎng)絡(luò)中的信息安全及其輔助設(shè)施受到保護(hù)；通過(guò)保護(hù)媒體處理的安全，防止資產(chǎn)損壞和商務(wù)活動(dòng)的中斷；加強(qiáng)信息和軟件的交換的管理，防止組織間在交換信息時(shí)發(fā)生丟失、更改和誤用；

7、訪問(wèn)控制：按照訪問(wèn)控制的商務(wù)要求，控制信息訪問(wèn)；加強(qiáng)用戶訪問(wèn)管理，防止非授權(quán)訪問(wèn)信息系統(tǒng)；明確用戶職責(zé)，防止非授權(quán)的用戶訪問(wèn)；加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制，保護(hù)網(wǎng)絡(luò)服務(wù)程序；加強(qiáng)操作系統(tǒng)訪問(wèn)控制，防止非授權(quán)的計(jì)算機(jī)訪問(wèn)；加強(qiáng)應(yīng)用訪問(wèn)控制，防止非授權(quán)訪問(wèn)系統(tǒng)中的信息；通過(guò)監(jiān)控系統(tǒng)的訪問(wèn)與使用，監(jiān)測(cè)非授權(quán)行為；在移動(dòng)式計(jì)算和電傳工作方面，確保使用移動(dòng)式計(jì)算和電傳工作設(shè)施的信息安全；

8、系統(tǒng)開(kāi)發(fā)與維護(hù)：明確系統(tǒng)安全要求，確保安全性已構(gòu)成信息系統(tǒng)的一部份；加強(qiáng)應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用；加強(qiáng)密碼技術(shù)控制，保護(hù)信息的保密性、可靠性或完整性；加強(qiáng)系統(tǒng)文件的安全，確保IT方案及其支持活動(dòng)以安全的方式進(jìn)行；加強(qiáng)開(kāi)發(fā)和支持過(guò)程的安全，確保應(yīng)用系統(tǒng)軟件和信息的安全；

9、商務(wù)連續(xù)性管理：防止商務(wù)活動(dòng)的中斷及保護(hù)關(guān)鍵商務(wù)過(guò)程不受重大失誤或?yàn)?zāi)難事故的影響；

10、符合：符合法律法規(guī)要求，避免刑法、民法、有關(guān)法令法規(guī)或合同約定事宜及其他安全要求的規(guī)定相抵觸；加強(qiáng)安全方針和技術(shù)符合性評(píng)審，確保體系按照組織的安全方針及標(biāo)準(zhǔn)執(zhí)行；系統(tǒng)審核考慮因素，使效果最大化，并使系統(tǒng)審核過(guò)程的影響最小化。

在國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799給出了為實(shí)現(xiàn)信息安全認(rèn)證所需的各項(xiàng)措施的詳細(xì)指導(dǎo)，具有很強(qiáng)的可操作性和指導(dǎo)性。

牐 說(shuō)到底，信息安全工作的目的就是在法律、法規(guī)、政策的支持與指導(dǎo)下，通過(guò)采用合適的安全技術(shù)與安全管理措施，提供安全需求的保證，而B(niǎo)S 7799信息安全認(rèn)證標(biāo)準(zhǔn)正是總和了這些要求。組織可以根據(jù)自身特點(diǎn)，在ISO/IEC 17799指導(dǎo)下，實(shí)現(xiàn)信息安全的要求。