信息安全是当前的一个热门话题,刚刚过去的2004年,被称作中国信息安全年。为什么信息安全会成为如此被关注的话题呢?其一是人们意识的提高,开始关心自己的和客户的信息安全了,其二就是当前普遍存在的问题是信息不安全。数据显示,全球每年由于安全事件的损失高达数百亿美元,而这些安全事件中,由于管理缺乏所致的比例高达70%。
保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。而我们日常提及信息安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等等。这是因为技术提供商在培育市场;国家的法律法规,有专门的部门在研究和制定和推广,那么谁来关注管理对信息安全的保障呢?
根据国务院27号文件,对信息安全实施分级安全保护的规定出台后,各有关部门都在积极制定相关的制度和法规,当前被普遍采用的技术标准的是CC/ISO15408,管理体系标准是ISO 17799/ BS 7799。
BS7799从10个领域来关注信息安全的保障,共提供36个控制目标和127个控制措施,目前已经在全球颁发了超过1000张证书,并且这个数字正在不断更新中。BS7799已经成为技术保障之上的普遍认同的管理体系标准。
BS7799是BSI制定的标准之一,早在二十纪世九十年代,随着信息的极大化丰富,需要一个标准来约束和规范信息安全的管理,BS7799-1的第一个版本在1995年由BSI推出,随后用于认证的BS7799-2在1998年推出。随着信息技术的发展,BS7799的两个部分全面更新为BS7799-1:1999 和BS7799-2:1999。BS7799-1被采纳为ISO标准,ISO17799于2000年正式发行。2002年BS7799进一步改版,引入PDCA的过程方法,与ISO9001等标准采用同一框架。BS7799也随着技术和应用的发展而发展着,并且正在被越来越多的国家采纳为国家标准。