BS7799,ISO17799与ISO27001的关系

 

　　信息安全发展至今，人们越来越认识到安全管理在整个信息安全建设过程中的重要性，而作为信息安全管理方面最著名的国际标准——ISO27001（即之前所称的BS7799标准），则成为可以指导我们现实工作的最好的参照。

　　BS7799是英国标准协会（British Standards Institute，BSI）于1995年2月制定的信息安全管理标准，分两个部分，其第一部分于2000年被ISO组织采纳，正式成为ISO/IEC 17799标准。该标准2005年经过最新改版，发展成为ISO/IEC 17799:2005标准。BS7799标准的第二部分经过长时间讨论修订，也于2005年成为正式的ISO标准，即ISO/IEC 27001:2005。

　　ISO17799:2005标准（即BS7799第一部分），是信息安全管理实施细则（Code of Practice for Information Security Management），其中包含11个主题，定义了133个安全控制。ISO17799:2005中的11个主题分别是：

　　◆ 安全策略（Security policy）；

　　◆ 信息安全组织（Organization of information security）；

　　◆ 资产管理（Asset management）；

　　◆ 人力资源安全 （Human resource security）；

　　◆ 物理和环境安全（Physical and environmental security）；

　　◆ 通信和操作管理（Communication and operation management）；

　　◆ 访问控制（Access control）；

　　◆ 信息系统获取、开发和维护（Information systems acquisition, development and maintenance）；

　　◆ 信息安全事件管理（Information security incident management）；

　　◆ 业务连续性管理（Business continuity management）；

　　◆ 符合性（Compliance）。

　　ISO27001:2005标准，是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI最终的认证（对依据ISO27001建立的ISMS进行认证），还有一系列相应的注册认证过程。作为一套管理标准，ISO27001指导相关人员怎样去应用ISO/IEC 17799，其最终目的，还在于建立适合企业需要的信息安全管理体系。

http://www.iso-iso9000.com/GD/tixi/ISO27000/2.html