ISO-17799：2000版信息技术信息安全业务管理指南

国际标准ISO-17799，全称为《信息技术——信息安全管理业务规范》(ISO/IEC 17799:2000)，于2000年12月1日发布，是一个针对组织的信息安全管理和控制提供指导的重要国际标准。该标准旨在帮助企业在日益复杂的网络环境中，建立和维护一个有效、系统化的信息安全管理体系，以保护其信息资产免受各种威胁。 ISO-17799涵盖了信息安全的多个方面，包括但不限于： 1. **范围**：标准定义了信息安全的总体框架，适用于所有类型的组织，无论规模大小，以确保信息资产的安全性。 2. **名词和定义**：明确了一系列核心概念，如信息安全、风险评估和风险管理，这些是理解和实施信息安全策略的基础。 3. **信息安全策略**：强调制定信息安全策略文档的重要性，并规定了定期复查和评价策略以适应不断变化的威胁环境。 4. **组织的安全**： - **信息安全架构**：提出设立管理信息安全论坛，鼓励跨部门协作，确保信息安全责任的明确分配。 - **第三方访问**：指南针第三方供应商的风险评估和合同中的安全条款，确保外部合作伙伴的活动符合组织安全要求。 - **外部采购**：对于外部采购的合同，着重于确保安全条款的明确和执行。 5. **资产分类和管理**：资产的计量性是关键，组织需建立资产清单，并通过信息分类原则，根据资产的价值和敏感度进行分级保护。 该标准还强调了关键成功因素，包括制定适合自己组织需求的准则，以及信息安全的持续改进和独立审查。它要求组织在实施过程中，既要考虑技术层面的防护措施，也要注重人员培训、流程优化和文化塑造。 ISO-17799是信息安全管理体系(ISMS)建设的重要参考，为组织提供了实施信息安全最佳实践的蓝图，帮助它们应对日益严峻的信息安全挑战。通过遵循这一标准，企业能够提升其信息资产的安全性，降低潜在风险，并符合国际认可的安全标准。