關于ISO 17799 / BS 7799 信息安全

保障信息安全有三個支柱，一個是技術、一個是管理、一個是法律法規(guī)。而我們日常提及信息安全時，多是在技術相關的領域，例如IDS入侵檢測技術、Firewall防火墻技術、Anti-Virus防病毒技術、加密技術、CA認證技術等等。這是因為技術提供商在培育市場；國家的法律法規(guī)，有專門的部門在研究和制定和推廣，那么誰來關注管理對信息安全的保障呢？

根據國務院27號文件，對信息安全實施分級安全保護的規(guī)定出臺后，各有關部門都在積極制定相關的制度和法規(guī)，當前被普遍采用的技術標準的是CC/ISO15408，管理體系標準是ISO 17799/ BS 7799。
BS7799從10個領域來關注信息安全的保障，共提供36個控制目標和127個控制措施，目前已經在全球頒發(fā)了超過1000張證書，并且這個數字正在不斷更新中。BS7799已經成為技術保障之上的普遍認同的管理體系標準。

BS7799是BSI制定的標準之一，早在二十紀世九十年代，隨著信息的極大化豐富，需要一個標準來約束和規(guī)范信息安全的管理，BS7799-1的第一個版本在1995年由BSI推出，隨后用于認證的BS7799-2在1998年推出。隨著信息技術的發(fā)展，BS7799的兩個部分全面更新為BS7799-1:1999 和BS7799-2:1999。BS7799-1被采納為ISO標準，ISO17799于2000年正式發(fā)行。2002年BS7799進一步改版，引入PDCA的過程方法，與ISO9001等標準采用同一框架。BS7799也隨著技術和應用的發(fā)展而發(fā)展著，并且正在被越來越多的國家采納為國家標準。