BS 7799第1部分（IS0 17799 :2002標準）：信息安全管理實施細則

信息管理——信息安全管理實施細則是一個常常被用作參考并且經常討論到的安全模式。它最初作為英國標準7799發布。在2000年，信息安全管理實施細則被國際標準化組織(ISO)和國際電工委員會(IEC)采納為信息安全國際標準框架，成為ISO/IEC 17799。雖然只有購買ISO/IEC 17799標準的人才禽邑獲得其詳細內容，但是其結構和一般體制卻是眾所周知的j如果想知道有關它的概括性描述，請看本章中標題為“ISO/IEC l.7799的十個部分”的內容。

ISO/IEC 17799聲明其目的是“為信息安全管理提供建議，以供機構內負責創建、實施或者維護安全的人員使用。它意在提供一個公共基礎，在這個基礎上制定機構的安全標準和有效安全管理實踐，還保證了機構內部操作的機密性。”國際標準部分實際上是英國標準BS 7799兩卷中的第1卷，它提供了一個對眾多安全領域的概述和關于lo個大領域中127種控制的信息。第2卷提供的信息說明了怎樣實現第1卷( 17799)的內容以及怎樣建立一個信息安全管理結構(ISMS， Information Security Management Structure)。圖6-1簡要說明了整個認證過程。

　　在英國，當這些標準得到正確實施時，可以用來獲得ISMS認證和認可，這和通過BS 7799認證評估員的檢測有著相同的效果。然而，美國、德國和日本等許多國家還沒有正式采納ISO/IEC l7799作為國家策略，這些國家的某些團體聲稱這個方法有基本原則上的問題：

*全球信息安全組織還沒有認為ISO/IEC 17799中確立的實踐細則是行得通的。

*ISO/IEC 17799缺少“技術標準所必需的測量精確度”

*沒有理由認為ISO/IEC 17799比其他的方法更為有用。

*ISO/IEC 17799的架構不如其他框架完整

*ISO/IEC 17799被認為準備十分倉促，采用它可能會對企業信息安全控制產生極其巨大的影響