BS7799 认证介绍

　　BS7799是商业风险管理。
　　信息安全管理体系BS7799[现代企业对信息的依赖越来越大，没有各种信息的支持，企业就不能发展。事实 上，信息已成为现代企业的一种重要资产，成为企业成功的关键所在。这种资产，更需要加以妥善保护。否则，可能由于人 员的原因（疏忽、跳槽、破坏）、竞争对手原因（商业间谍、收买、盗窃、网络攻击）和自然灾害（火灾、水灾、地震）等 原因，在一瞬间被毁灭、消失、损坏、盗窃、贬值、转移，给企业带来致命的打击。
　　目前，我国的信息安全管理主要依靠传统的管理方式与技术手段来实现，传统的管理模式缺乏现代的系统管理思想，而技术手段又有其局限性。保护信息安全，国际公认的，最有效的方式是采用系统的方法（管理+技术），即确定信息安全管理方针和范围，在风险分析的基础上选择适宜的控制目标与控制方式来进行控制，制定商务持续性计划，建立并实施信息安全管理体系。这种系统的信息安全管理方法已经成为国际性标准ISO/IEC17799(BS7799)。

　　什么是信息?
　　信息： 不仅仅是计算机、网络相关的数据、资料， 也包括： 专利 商业档案 文件 标准 专有技术 客户资料 统计数据 图样 配方 报价 规章制度 财务数据 工艺 计划 资源配置 管理体系 。

　　对信息进行风险管理的目的？
　　使信息风险的发生概率和结果降低到可接受收水平，并采取措施保证业务不会因风险的发生而中断。

　　BS7799 信息管理过程
　　确定信息安全管理方针
　　确定ISMS(信息安全管理体系)的范围
　　进行风险分析
　　选择控制目标并进行控制
　　建立业务持续计划
　　建立并实施安全管理体系

　　管理体系如何架构
　　当我们考虑到用管理体系的方法来保护信息安全时，BS7799信息安全管理体系标准无疑是一个很好的帮助：
　　 BS7799是一套基于最佳实践的成功的信息安全管理体系方法，她最早由英国商务部推动，由BSI将其发展成为标准。BS7799共分两部分，第一部分已经在2000年被采纳为ISO17799，是信息安全管理实践指南，第二部分BS7799-2是信息安全管理体系规范，换言之，第二部分告诉我们应该做什么，第一部分则提供了一些如何做或者好做法的指导。
　　 从中我们可以看到，作为一个信息安全管理体系，输入是相关方的信息安全的期望和要求，经过一个PDCA体系的循环，得到的输出将是各相关方信息安全要求的满足，也就是说，信息安全已经受到管理和掌控。
　　 BS7799汇集了优秀企业最佳实践，规范了10个安全控制区域，36个安全控制目标和127个安全控制措施。她以风险评估为基础，自顶向下的管理方法，从组织、人员、流程、技术、法律法规、永续经营等全方位实施的管理体系。
　　 我们构建一个信息安全管理体系，需要考虑以下几个步骤：
　　 1. 定义范围
　　 2. 定义方针
　　 3. 确定风险评估的方法
　　 4. 识别风险
　　 5. 评估风险
　　 6. 识别并评估风险处理的措施
　　 7. 为处理风险选择控制目标和控制措施
　　 8. 准备适用性声明
　　 而构建一个成功的信息安全管理体系的关键成功因素在于：
　　 1. 最高领导层对管理体系的承诺；
　　 2. 体系与整个组织文化的一致性，与业务营运目标的一致性；
　　 3. 理清职责权限；
　　 4. 有效的宣传、培训，提升意识，不仅要针对内部员工，也要针对合作伙伴、供应商、外包服务商等。
　　 5. 盘清信息资产、明确信息安全的要求，明晰风险评估和处理的方法和流程；
　　 6. 均衡的测量监控体系，持续监控各种变化，从监控结果中寻求持续改进的机会。

　　 信息安全管理体系当前的发展：
　　BS7799-2可以提供认证服务，该标准是当前唯一可以提供对组织的信息安全管理体系的认证标准。在实施了一套信息安全管理体系之后，可以籍由第三方独立认证，向社会、向公众、向客户证实所实施体系的有效性和效果，提供信心保障。
　　 当前全球已经颁发了超过1000张证书，并且这个数字正在不断增长中，证书主要集中在日本、英国、印度、台湾。证书的分布主要在政府、金融、通信、电子、物流等行业。我国已经颁发证书10张，当前正处于一个蓄势待发的阶段。
　　 BS7799标准已经被很多国家和地区采纳为国家标准或地区标准，如日本、台湾等地。我国在这方面的工作也在进展中。