BS7799-1:1999信息安全管理：业务守则与实践指南

BS7799文档，全称为"英国标准ISO/IEC 27001：1999信息技术——信息安全管理体系要求"，是一项旨在为组织提供信息安全管理和控制框架的重要标准。该标准最初分为两部分：第一部分——信息安全管理业务守则（BS7799-1:1999），和第二部分——信息安全管理系统规范（未提及具体版本）。BS7799-1于1995年发布，针对当时的信息技术环境，特别是网络和通信技术的快速发展，提供了全面的实践指导。 该标准的主要目标是为组织在设计和运行信息系统时提供一个通用的框架，无论其规模大小，无论是营利性还是非营利性组织。标准强调信息安全不仅是技术问题，更是与商业运营和责任紧密相关的决策。然而，它并非万能的解决方案，因为每个组织的特定环境和技术条件需酌情考虑。因此，BS7799-1需要与具体指导结合使用，不能机械地套用。 作为一个业务守则，BS7799-1提倡灵活的执行方式，避免生搬硬套，确保不会因过度强调规则而阻碍业务流程。标准假定使用者具备相应的知识和经验。附录A提供了关于旧版和新版条款对应关系的详细图表，帮助用户理解标准的演变。 信息安全被定义为对组织有价值的资产，需要通过适当的保护措施来维护其保密性、完整性和可用性，以保障业务连续性，减少风险，最大化投资回报并抓住商业机会。信息可能以多种形式存在，包括纸质、电子文档、邮寄、胶片或口头交流，因此，不论其传播方式，都应给予恰当的保护。 BS7799-1强调的信息安全特征包括： 1. 保密性：确保信息不被未经授权的人员获取或泄露。 2. 完整性：防止信息在存储和传输过程中被篡改或丢失。 3. 可用性：确保信息在需要时能够被合法访问和使用。 4. 问责制：明确责任和权限，追踪和记录对信息安全活动的控制和审计。 最后，使用BS7799-1并不意味着自动免除法律义务，组织必须自行负责正确理解和应用标准，以实现有效的信息安全管理体系。