BS7799, ISO17799与ISO27001的关系

信息发展至今，人们越来越认识到管理在整个信息建设过程中的重要，而作为信息管理方面的标准——ISO27001（即之前所称的BS7799标准），则成为可以指导我们现实工作的好

的参照。

      BS7799是英国标准协会（British Standards InstituteBSI于1995年2月制定的信息管理标准，分两个部分，其一部分于2000年被ISO组织采纳，正式成为ISO/IEC 17799标

准。该标准2005年经过新改版，发展成为ISO/IEC 17799:2005标准BS7799标准的二部分经过长时间讨论修订，也于2005年成为正式的ISO标准，即ISO/IEC 27001:2005。

      ISO17799:2005标准（即BS7799一部分），是信息管理实施细则（Code of Practice for Information Security Management），其中包含11个主题，定义了133个安控制

。ISO17799:2005中的11个主题分别是：

         策略（Security policy）；
         信息组织（Organization of information security）；
         资产管理（Asset management）；
         人力资源 （Human resource security）；
         物理和环境（Physical and environmental security）；
         通信和操作管理（Communication and operation management）；
         访问控制（Access control）；
         信息系统获取、开发和维护（Information systems acquisition, development and maintenance）；
         信息事件管理（Information security incident management）；
         业务连续管理（Business continuity management）；
         符合（Compliance）。

      ISO27001:2005标准，是建立信息管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信

息管理体系的要求，指出实施应该遵循的风险评估标准，当然，如果要得到BSI的认证（对依据ISO27001建立的ISMS进行认证），还有一系列相应的注册认证过程。作为一套管理标

准，ISO27001指导相关人员怎样去应用ISO/IEC 17799，其目的，还在于建立适合企业需要的信息管理体系。