BS 7799第1部分（IS0 17799 :2002标准）：信息安全管理实施细则

BS 7799第1部分（IS0 17799 :2002标准）：信息安全管理实施细则

信息管理——信息安全管理实施细则是一个常常被用作参考并且经常讨论到的安全模式。它最初作为英国标准7799发布。在2000年，信息安全管理实施细则被国际标准化组织(ISO)和国际电工委员会(IEC)采纳为信息安全国际标准框架，成为ISO/IEC 17799。虽然只有购买ISO/IEC 17799标准的人才禽邑获得其详细内容，但是其结构和一般体制却是众所周知的j如果想知道有关它的概括性描述，请看本章中标题为“ISO/IEC l.7799的十个部分”的内容。

ISO/IEC 17799声明其目的是“为信息安全管理提供建议，以供机构内负责创建、实施或者维护安全的人员使用。它意在提供一个公共基础，在这个基础上制定机构的安全标准和有效安全管理实践，还保证了机构内部操作的机密性。”国际标准部分实际上是英国标准BS 7799两卷中的第1卷，它提供了一个对众多安全领域的概述和关于lo个大领域中127种控制的信息。第2卷提供的信息说明了怎样实现第1卷( 17799)的内容以及怎样建立一个信息安全管理结构(ISMS， Information Security Management Structure)。图6-1简要说明了整个认证过程。

　　在英国，当这些标准得到正确实施时，可以用来获得ISMS认证和认可，这和通过BS 7799认证评估员的检测有着相同的效果。然而，美国、德国和日本等许多国家还没有正式采纳ISO/IEC l7799作为国家策略，这些国家的某些团体声称这个方法有基本原则上的问题：

*全球信息安全组织还没有认为ISO/IEC 17799中确立的实践细则是行得通的。

*ISO/IEC 17799缺少“技术标准所必需的测量精确度”

*没有理由认为ISO/IEC 17799比其他的方法更为有用。

*ISO/IEC 17799的架构不如其他框架完整

*ISO/IEC 17799被认为准备十分仓促，采用它可能会对企业信息安全控制产生极其巨大的影响