什么是信息管理体系以及相关认证BS7799

 信息是一种资产，一旦损毁、丢失、或被不适当地曝光，会给组织带来一系列的损失，如“冰山原理”所描述，我们能直接感知到的数据的丢失，只是整体损失的冰山一角，潜藏

在水面下的部分，可能会是直接损失的6~53倍，这包括：损失了时间，替代的成本，可能的法律风险，声誉受损，丢失潜在的业务，竞争力和生产力受损等等。这些损失是我们不

愿意面对的，因此信息越来越成为我们关注的热点问题。
三根支柱　不可偏废
 
信息的问题倍受关注，是信息技术发展到一定水平，信息化深入到一定程度之后的一个然趋势和结果。信息对于业务的重要，或者讲业务对于信息的依赖，使得信
息问题尤为突出，另外一个方面，信息媒介的多样，信息传播的广等因素也造就了保护信息的复杂度。因此如何来保护信息，怎么样才能保护信息，成为
技术厂商、管理家经常探讨和论述的话题。
 
我们知道保障信息有三个支柱，一个是技术、一个是管理、一个是法律法规。而我们日常提及信息时，多是在技术相关的领域，例如IDS入侵检测技术、Firewall防火
墙技术、Anti-Virus防毒技术、加密技术、CA认证技术等等。这是因为信息技术和产品的采纳，能够快速见到直接效益，同时，技术和产品的发展水平也相对较高，此外，

技术厂商对市场的培育，不断提和升着人们对信息技术和产品的认知度。虽然大家在面对信息事时总是在叹息：“道高一尺、魔高一丈”，在反思自身技术的不足，实质

上人们此时忽视的是另外两个层面的保障。
 
国的法律法规方面，有专门的部门在研究和制定和推广，不是本文探讨的主题，我们要讨论的是，谁来关注管理对信息的保障呢?这要靠组织自己通过意识提高，管理水平的提和升来逐步改。
 
正如“木桶原理”所示，你的能力是由你弱的那个环节决定的，我们发展信息事业，保护信息，也应该从上述三个方面全考量，而不能只偏重其中的某一个部分。
 
管理体系如何架构
 
当我们考虑到用管理体系的方法来保护信息时，BS7799信息管理体系标准无疑是一个很好的帮助：
 
BS7799是一套基于佳的实践的成功的信息管理体系方法，她早由英国商务部推动，由BSI将其发展成为标准。BS7799共分两部分，一部分已经在2000年被采纳为

ISO17799，是信息管理实践指南，二部分BS7799-2是信息管理体系规范，换言之，二部分告诉我们应该做什么，一部分则提供了一些如何做或者好做法的指导。
 
从中我们可以看到，作为一个信息管理体系，输入是相关方的信息的期望和要求，经过一个PDCA体系，得到的输出将是各相关方信息要求的满足，也就是

说，信息已经受到管理和掌控。
 
BS7799汇集了优的企业佳的实践，规范了10个控制区域，36个控制目标和127个控制措施。她以风险评估为基础，自顶向下的管理方法，从组织、人员、流程、技

术、法律法规、永续经营等方位全实施的管理体系。
 
我们构建一个信息管理体系，需要考虑以下几个步骤：
 
1. 定义范围
 
2. 定义方针
 
3. 确定风险评估的方法
 
4. 识别风险
 
5. 评估风险
 
6. 识别并评估风险处理的措施
 
7. 为处理风险选择控制目标和控制措施
 
8. 准备适用声明
 
而构建一个成功的信息管理体系的关键成功因素在于：
 
1. 对管理体系的承诺；
 
2. 体系与整个组织文化的1致，与业务营运目标的1致；
 
3. 理清职责权限；
 
4. 宣传、培训，提和升意识，要针对内部员工，也要针对合作伙伴、供应商、外包服务商等。
 
5. 盘清信息资产、明确信息的要求，明晰风险评估和处理的方法和流程；
 
6. 均衡的测量监控体系，持续监控各种变化，从监控结果中寻求持续改进的机会。
 
信息管理体系当前的发展：
 
BS7799-2可以提供认证服务，该标准是当前可以提供对组织的信息管理体系的认证标准。在实施了一套信息管理体系之后，可以籍由三方独认证，向社会、向公众、向客户证实所实施体系，提供信心保障。
 
当前已经发了过1000张证，并且这个数字正在不断增长中，证主要集中在日本、英国、印度、台湾。证的分布主要在、金融、通信、电子、物流等行业。

我国已经发证10张，当前正处于一个蓄势待发的阶段。
 
BS7799标准已经被很多国和地区采纳为国的标准或地区标准，如日本、台湾等地。我国在这方面的工作也在进展中。