BS 7799-1于1995年首次出版,标准规定了一套适用于工商业组织使用的信息系统的信息安全管理体系(ISMS)控制条件,包括网络和沟通中使用的信息处理技术,并提供了一套综合的信息安全实施规则,作为工商业组织的信息系统在大多数情况下所遵循的唯一参考基准,标准的内容定期进行评定。BS 7799:1999是1995版本的一个修订和扩展版本,它充分考虑了信息处理技术,尤其是网络和通信领域应用的最新发展,同时还强调了涉及商务的信息安全责任,扩展了新的控制。例如,新版本包括关于电子商务,移动计算机,远程工作和外部采办等领域的控制。
|
标 准 |
目 的 |
内 容 |
| 安全方针 | 为信息安全提供管理方向和支持。 | 建立安全方针文档 |
| 安全组织 | 建立组织内的管理体系以便安全管理。 | 组织内部信息安全责任;信息采集设施安全;可被第三方利用的信息资产的安全;外部信息安全评审;外包合同的安全。 |
| 资产分类与控制 | 维护组织资产的适当保护系统。 | 利用资产清单,分类处理,信息标签等对信息资产进行保护。 |
| 人员安全 | 减少人为造成的风险。 | 减少错误,偷窃,欺骗或资源误用等人为风险;保密协议;安全教育培训;安全事故与教训总结;惩罚措施。 |
| 物理与环境安全 | 防止对关于IT服务的未经许可的介入,损伤和干扰服务。 | 阻止对工作区与物理设备的非法进入;业务机密和信息非法的访问、损坏、干扰;阻止资产的丢失,损坏或遭受危险;桌面与屏幕管理阻止信息的泄漏。 |
| 通信与操作管理 | 保证通讯和操作设备的正确和安全维护。 | 确保信息处理设备的正确和安全的操作;降低系统失效的风险; 保护软件和信息的完整性;维护信息处理和通讯的完整性和可用性;确保网络信息的安全措施和支持基础结构的保护; 防止资产被损坏和业务活动被干扰中断;防止组织间的交易信息遭受损坏,修改或误用。 |
| 访问控制 | 控制对商业信息的访问。 | 控制访问信息;阻止非法访问信息系统;确保网络服务得到保护;阻止非法访问计算机;检测非法行为; 保证在使用移动计算机和远程网络设备时信息的安全。 |
| 系统开发与维护 | 保证系统开发与维护的安全 | 确保信息安全保护深入到操作系统中; 阻止应用系统中的用户数据的丢失,修改或误用;确保信息的保密性,可靠性和完整性;确保IT项目工程及其支持活动在安全的方式下进行;维护应用程序软件和数据的安全。 |
| 业务持续管理 | 防止商业活动中断和灾难事故的影响。 | 防止商业活动的中断;防止关键商业过程免受重大失误或灾难的影响。 |
| 符合性 | 避免任何违反法令、法规、合同约定及其他安全要求的行为。 | 避免违背刑法、民法、条例,遵守契约责任以及各种安全要求; 确保组织系统符合安全方针和标准;使系统审查过程的绩效最大化,并将干扰因素降到最小。 |
