BS7799与ISO/IEC17799：信息安全管理实践

"BS7799 信息安全标准是一套由英国贸易工业部于1993年立项，1995年首次发布的实施规则，旨在为组织提供信息安全管理的基准，适用于各种规模的企业。该标准后来演变为ISO/IEC 17799，分为两部分，一部分是信息安全管理业务守则，另一部分是信息安全管理系统规范。这套标准提供了全面的控制措施，以确保在商业和工业环境中合理保护信息系统。虽然不能涵盖所有具体情况，但它是组织制定策略和协议时的重要参考。标准的使用应灵活，不应成为妨碍业务的束缚，并且假定使用者具备相应的专业知识。符合标准并不免除法律义务，信息安全管理的核心是保护组织的信息资产，防止因各种威胁造成的损失，确保业务的连续性和效率。" BS7799信息安全标准的出现，标志着信息安全实践的一个重要里程碑。这个标准强调了信息作为一种关键的商业资产，需要像其他有形资产一样得到妥善保护。信息安全的主要目标是防御各种威胁，如非法访问、破坏、泄露、丢失或未经授权的使用，从而维护业务的稳定性和盈利能力。 标准的第一部分，信息安全管理业务守则，包含了针对不同信息安全领域的一系列最佳实践，这些实践可以帮助组织建立、实施和维护一个有效的信息安全管理体系。这些实践可能包括但不限于访问控制、密码政策、数据备份、网络安全、物理安全、员工培训和意识提升等方面。 第二部分，信息安全管理系统规范，则更倾向于提供一个框架，帮助组织构建和运行一个符合标准的管理系统，以持续监测、评估和改进信息安全状况。 在实施BS7799或ISO/IEC 17799时，组织需要根据自身的业务需求、风险承受能力和技术环境来选择和定制合适的控制措施。此外，标准的适用性不仅限于营利性机构，也涵盖了公共部门和其他非营利组织。尽管标准提供了指导，但每个组织都需要根据自身情况进行调整，以确保其适应性和有效性。 BS7799（ISO/IEC 17799）为组织提供了一个系统化的方法来管理和保护其信息资产，确保信息的安全性，支持业务的可持续发展，并在日益复杂的网络安全环境中增强组织的信心和信任。