BS7799：国外信息安全管理标准解析

"计算机信息安全管理标准.ppt" 计算机信息安全管理是保障组织信息资产安全的重要实践，其标准在全球范围内有着广泛的应用和影响。其中，BS7799是英国标准协会（British Standard Institution, BSI）发布的一套信息安全管理标准，现已被国际标准化组织（ISO）采纳并演变为ISO/IEC 27001。该标准为组织提供了一套系统的风险管理框架，以保护信息资产免受各种威胁的影响。 BS7799分为两部分：BS7799-1和BS7799-2。BS7799-1，即《信息安全管理细则》，为信息安全管理提供实践指南，包括10个管理要项、36个管理目标和127个控制措施，旨在帮助组织建立、实施和维护信息安全管理系统。这些管理要项涵盖了从安全策略到人员安全的各个层面，确保信息安全政策的全面性和有效性。 1. 安全策略：这是信息安全的基础，要求制定明确的文档化安全策略，为信息安全提供管理和支持。策略文档应包含信息安全策略、评审和评价等控制措施。 2. 组织的安全：这部分关注组织内部的安全协调和责任分配，涉及第三方访问安全和外包合同中的安全要求，确保外部合作不会削弱内部安全。 3. 资产分类与控制：对组织所有的信息资产进行分类和控制，以确保其得到适当的保护。这包括建立资产清单、制定信息分类指南和处理规则。 4. 人员安全：强调人员的角色和责任，包括岗位安全、人员筛选、保密协议以及员工的信息安全教育和培训，以提升员工的信息安全意识和能力。 BS7799-2，即《信息安全管理体系规范》，则进一步提供了建立信息安全管理体系的具体要求，它鼓励组织采用系统化的方法来管理信息安全风险，持续改进信息安全的绩效。 这些标准的实施对于任何组织来说都是至关重要的，无论规模大小。它们不仅提供了一个结构化的安全管理框架，还通过定期的评审和改进机制，确保了信息安全措施能够适应不断变化的风险环境。通过遵循这些标准，组织可以更好地保护其信息资产，增强客户信任，同时符合法规要求，降低因数据泄露或系统故障导致的潜在损失。