BS7799-2

信息安全管理标准BS7799-2:2002介绍及风险评估Information Security Management Standard BS7799-2:2002AND Risk Assessment山东科飞管理咨询公司王毅刚吴昌伦摘要：介绍了信息安全管理体系标准的发展及2002年9月5日英国标准委员会BSI正式发布的信息安全管理标准BS77992:2002,着重介绍了标准改版的原因及其与其他管理标准的相容性。对于建立信息安全管理体系的重点部分一风险评估，也作了简要地介绍。一、BS7799信息安全管理体系标准的发展随着在世界范围内，信总化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信总安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织(I$0)也发布了IS017799、IS013335、IS015408等与信总安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准S7799己经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信总安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS77991:1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月，BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织IS0的认可，正式成为国际标准--IS0/IEC17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS77992:1999被废止。现在，BS7799标准己得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。目前除英国之外，还有荷兰、丹麦、澳大利亚、巴西等国己同意使用该标准：日本、瑞士、卢森堡等国也表示对B$7799标准感兴趣，我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司己采用了此标准对自己的信息安全进行系统的管理。截至2002年9月，全球共有142家各类组织通过了BS7799信息安全管理体系认证.二、BS7799-2:2002简介2002年9月5日，BSI发布了最新版的BS7799-2:2002标准，新版的标准结构如下：0引言