BS 7799第1部分（IS0 17799 :2002標(biāo)準(zhǔn)）：信息安全管理實施細則

信息管理——信息安全管理實施細則是一個常常被用作參考并且經(jīng)常討論到的安全模式。它最初作為英國標(biāo)準(zhǔn)7799發(fā)布。在2000年，信息安全管理實施細則被國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)采納為信息安全國際標(biāo)準(zhǔn)框架，成為ISO/IEC 17799。雖然只有購買ISO/IEC 17799標(biāo)準(zhǔn)的人才禽邑獲得其詳細內(nèi)容，但是其結(jié)構(gòu)和一般體制卻是眾所周知的j如果想知道有關(guān)它的概括性描述，請看本章中標(biāo)題為“ISO/IEC l.7799的十個部分”的內(nèi)容。

ISO/IEC 17799聲明其目的是“為信息安全管理提供建議，以供機構(gòu)內(nèi)負責(zé)創(chuàng)建、實施或者維護安全的人員使用。它意在提供一個公共基礎(chǔ)，在這個基礎(chǔ)上制定機構(gòu)的安全標(biāo)準(zhǔn)和有效安全管理實踐，還保證了機構(gòu)內(nèi)部操作的機密性?！眹H標(biāo)準(zhǔn)部分實際上是英國標(biāo)準(zhǔn)BS 7799兩卷中的第1卷，它提供了一個對眾多安全領(lǐng)域的概述和關(guān)于lo個大領(lǐng)域中127種控制的信息。第2卷提供的信息說明了怎樣實現(xiàn)第1卷( 17799)的內(nèi)容以及怎樣建立一個信息安全管理結(jié)構(gòu)(ISMS， Information Security Management Structure)。圖6-1簡要說明了整個認證過程。

　　在英國，當(dāng)這些標(biāo)準(zhǔn)得到正確實施時，可以用來獲得ISMS認證和認可，這和通過BS 7799認證評估員的檢測有著相同的效果。然而，美國、德國和日本等許多國家還沒有正式采納ISO/IEC l7799作為國家策略，這些國家的某些團體聲稱這個方法有基本原則上的問題：

*全球信息安全組織還沒有認為ISO/IEC 17799中確立的實踐細則是行得通的。

*ISO/IEC 17799缺少“技術(shù)標(biāo)準(zhǔn)所必需的測量精確度”

*沒有理由認為ISO/IEC 17799比其他的方法更為有用。

*ISO/IEC 17799的架構(gòu)不如其他框架完整

*ISO/IEC 17799被認為準(zhǔn)備十分倉促，采用它可能會對企業(yè)信息安全控制產(chǎn)生極其巨大的影響