BS 7799第1部分（IS0 17799 :2002標(biāo)準(zhǔn)）：信息安全管理實(shí)施細(xì)則

信息管理——信息安全管理實(shí)施細(xì)則是一個(gè)常常被用作參考并且經(jīng)常討論到的安全模式。它最初作為英國(guó)標(biāo)準(zhǔn)7799發(fā)布。在2000年，信息安全管理實(shí)施細(xì)則被國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)采納為信息安全國(guó)際標(biāo)準(zhǔn)框架，成為ISO/IEC 17799。雖然只有購(gòu)買(mǎi)ISO/IEC 17799標(biāo)準(zhǔn)的人才禽邑獲得其詳細(xì)內(nèi)容，但是其結(jié)構(gòu)和一般體制卻是眾所周知的j如果想知道有關(guān)它的概括性描述，請(qǐng)看本章中標(biāo)題為“ISO/IEC l.7799的十個(gè)部分”的內(nèi)容。

ISO/IEC 17799聲明其目的是“為信息安全管理提供建議，以供機(jī)構(gòu)內(nèi)負(fù)責(zé)創(chuàng)建、實(shí)施或者維護(hù)安全的人員使用。它意在提供一個(gè)公共基礎(chǔ)，在這個(gè)基礎(chǔ)上制定機(jī)構(gòu)的安全標(biāo)準(zhǔn)和有效安全管理實(shí)踐，還保證了機(jī)構(gòu)內(nèi)部操作的機(jī)密性。”國(guó)際標(biāo)準(zhǔn)部分實(shí)際上是英國(guó)標(biāo)準(zhǔn)BS 7799兩卷中的第1卷，它提供了一個(gè)對(duì)眾多安全領(lǐng)域的概述和關(guān)于lo個(gè)大領(lǐng)域中127種控制的信息。第2卷提供的信息說(shuō)明了怎樣實(shí)現(xiàn)第1卷( 17799)的內(nèi)容以及怎樣建立一個(gè)信息安全管理結(jié)構(gòu)(ISMS， Information Security Management Structure)。圖6-1簡(jiǎn)要說(shuō)明了整個(gè)認(rèn)證過(guò)程。

　　在英國(guó)，當(dāng)這些標(biāo)準(zhǔn)得到正確實(shí)施時(shí)，可以用來(lái)獲得ISMS認(rèn)證和認(rèn)可，這和通過(guò)BS 7799認(rèn)證評(píng)估員的檢測(cè)有著相同的效果。然而，美國(guó)、德國(guó)和日本等許多國(guó)家還沒(méi)有正式采納ISO/IEC l7799作為國(guó)家策略，這些國(guó)家的某些團(tuán)體聲稱(chēng)這個(gè)方法有基本原則上的問(wèn)題：

*全球信息安全組織還沒(méi)有認(rèn)為ISO/IEC 17799中確立的實(shí)踐細(xì)則是行得通的。

*ISO/IEC 17799缺少“技術(shù)標(biāo)準(zhǔn)所必需的測(cè)量精確度”

*沒(méi)有理由認(rèn)為ISO/IEC 17799比其他的方法更為有用。

*ISO/IEC 17799的架構(gòu)不如其他框架完整

*ISO/IEC 17799被認(rèn)為準(zhǔn)備十分倉(cāng)促，采用它可能會(huì)對(duì)企業(yè)信息安全控制產(chǎn)生極其巨大的影響