ISO/IEC17799:2000(E) - 信息安全风险管理标准

"ISO安全标准中文版，主要涉及的是风险评估的标准，即国际广泛采用的BS7799标准。此标准被转化为ISO/IEC17799:2000，关注于信息技术领域的信息安全管理业务规范。" ISO/IEC17799:2000(E)是国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的关于信息安全的第一版标准，发布日期为2000年12月1日。这个标准提供了信息安全管理的实践指南，旨在帮助企业和其他组织保护其重要的信息资产。 标准内容包括多个方面，如： 1. 范围：定义了标准适用的领域，即信息安全管理的各个方面。 2. 名词和定义：清晰阐述了信息安全、风险评估和风险管理等关键术语的含义，以便于理解和实施。 3. 安全策略：强调了制定信息安全策略的重要性，包括策略文档的编写、定期审查和评估。 4. 组织的安全：涵盖了建立信息安全基本架构，如设立管理信息安全的论坛，分配安全责任，以及处理第三方访问和外部采购的安全问题。 - 管理信息安全论坛：鼓励内部沟通和协作，确保所有部门对信息安全的理解一致。 - 信息安全责任的分配：明确各个角色和部门的信息安全职责，以确保责任落实到人。 - 第三方访问的安全：要求评估第三方访问的风险，并在合同中明确规定安全要求。 - 外部采购：在购买外部服务或产品时，需考虑其中的信息安全风险，并在合同中设定相应的安全条款。 5. 资产分类和管理：资产的识别、分类和控制是信息安全管理的基础，包括对资产价值的评估，以及根据其重要性实施不同级别的保护措施。 6. 风险评估：标准详细描述了如何评估信息安全风险，这是确定所需控制措施的关键步骤。 7. 选择控制措施：根据风险评估的结果，选择和实施适当的控制措施来降低或消除风险。 8. 关键的成功因素和制订自己的准则：强调了实施信息安全管理体系的成功要素，鼓励组织根据自身情况制定具体的信息安全准则。 标准还涉及了其他关键主题，如法律和法规遵从性、员工意识培训、信息安全事故管理、持续改进等，为企业提供了一套全面的信息安全保障框架。遵循这个标准，企业能够系统地管理和降低信息安全风险，保障业务的连续性和稳定性。