请详细介绍基于BS7799标准构建信息安全管理体系的步骤，并说明如何结合风险评估结果制定相应的控制措施。

基于BS7799标准构建信息安全管理体系（ISMS）是确保组织信息安全的重要步骤。以下是详细步骤和解释，以及如何结合风险评估结果制定控制措施的方法。

参考资源链接：[信息安全工程习题解析：从BS7799到风险管理](https://wenku.csdn.net/doc/50t6c6m6mb?spm=1055.2569.3001.10343)

首先，根据BS7799标准，建立ISMS的步骤大致如下：

1. 制定信息安全政策：这是ISMS的基石，需要得到组织高层的支持和批准。信息安全政策应该包括对信息资产保护的承诺，以及对风险接受准则的定义。

2. 实施风险评估：风险评估是识别并理解组织面临的安全风险的过程。它包括资产识别、威胁评估、脆弱性分析以及影响和可能性的评估。通常采用定性、定量或半定量的方法进行。

3. 确定安全控制目标和控制措施：基于风险评估的结果，组织应该确定需要实现的安全目标，并选择适当的安全控制措施来降低风险到可接受的水平。

4. 开发信息安全管理体系：这个体系应该包括ISMS的所有政策、程序、过程和文件记录。确保每个环节都符合组织的安全需求和目标。

5. 实施和操作：将安全控制措施实施到组织的日常运营中，确保所有员工都理解并遵循安全政策和程序。

6. 监控和审核：定期监控ISMS的有效性，并进行内部或外部审核来检查体系运行情况和持续改进。

7. 管理层评审：定期由组织管理层评审ISMS的有效性和适宜性，确保信息安全政策和控制措施仍然符合组织的需求。

在进行风险评估后，可以采用以下步骤制定控制措施：

- 确定风险接受准则：在风险评估阶段确定组织可接受的风险水平。
- 选择控制措施：根据风险评估结果，选择能够有效降低风险至可接受水平的安全控制措施。
- 实施控制措施：将选定的控制措施纳入组织的运营流程中，确保其得到适当的管理和维护。
- 教育和培训员工：对员工进行信息安全意识和相关控制措施的培训，以确保控制措施得到正确执行。
- 定期评估和审查：定期评估控制措施的有效性，并根据变化的威胁和脆弱性进行调整。

通过上述步骤，组织可以确保信息安全管理体系的有效性和适应性，同时控制风险在可接受的范围内。学习《信息安全工程习题解析：从BS7799到风险管理》能够帮助你更深入地理解这些概念，并通过习题加深理解。

在你完成了基于BS7799标准建立ISMS的实践之后，若想进一步深化学习，可以查看《信息安全工程习题解析：从BS7799到风险管理》中的习题及答案，通过解决实际问题来加强理论知识的应用。该资料提供了一系列与BS7799标准相关的实战题目，有助于你全面掌握信息安全管理体系的构建与风险评估。

参考资源链接：[信息安全工程习题解析：从BS7799到风险管理](https://wenku.csdn.net/doc/50t6c6m6mb?spm=1055.2569.3001.10343)