想必我们大家对不少的认证都有所了解认证有不少的种类，因此，我们对好多的认证都了解较少，而今天小编要跟小伙伴们一起了解的是BS7799信息安全管理体系认证，那现在就跟小编一起去了解BS7799信息安全管理体系认证吧。

信息和其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护｡信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报｡

信息可以以多种形式存在｡它可以是打印或写在纸上(如:书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手段传输;显示在胶片上;表达在会话中｡不论信息采用什么方式或采取什么手段共享和存贮,因为它有价值,应该得到妥善的保护｡

信息安全的维持可表征为:

A､机密性:确保信息仅可让授权获取的人士访问;

B､完整性:保护信息和处理方法的准确和完善;

C､可用性:确保授权人需要时可以获取信息和相应的资产｡

信息安全的重要性

信息及其支持过程的系统和网络都是组织的重要资产｡信息的机密性､完整性和可用性对保持一个组织的竞争优势､资金流动､效益､法律符合性和商务形象都是至关重要的｡

任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈､刺探､阴谋破坏行为､火灾､水灾等大范围的安全威胁｡随着计算机的日益发展和普及,计算机病毒､计算机盗窃､服务器的非法入侵破坏已变得日益普遍和错综复杂｡

目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏｡组织内网络的互连及信息资源的共享增大了实现访问控制的难度｡

有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持｡

至于应采取哪些控制方式则需要周密计划,并注意控制细节｡信息安全管理需要组织中的所有雇员的参与,比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密,除物理控制外,还需要组织全体人员参与,加强控制｡此外还需要供应商,顾客或股东的参与,需要组织以外的专家建议｡

信息安全管理体系标准

1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为工商业和大､中､小型组织实施信息安全管理的指南｡由于该标准采用建议和指导方式编写,因而不宜作为认证标准使用｡

1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准--BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准｡

1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订｡修订后的BS7799-1:1999和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998｡新修订的1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任｡

BS7799-1:1999和BS7799-2:1999是一对配套标准,BS7799-1:1999为如何建立和实施符合BS7799-2:1999标准要求的信息安全管理体系提供了最佳的应用建议｡

令人鼓舞的是,2000年12月,BS7799-1:1999已经被ISO/IEC正式采纳成为国际标准--ISO/IEC17799:2000《信息技术―信息安全管理实施规则》,另外,BS7799-2:1999也即将于2002年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系规范》｡

建立信息安全管理体系(ISMS)对任何组织都具有重要意义

任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:

1.缺少信息安全管理论坛,安全导向不明确,管理支持不明显;

2.缺少跨部门的信息安全协调机制;

3.保护特定资产以及完成特定安全过程的职责还不明确;

4.雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;

5.组织信息系统管理制度不够健全;

6.组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;

7.组织信息系统备份设备仍有欠缺;

8.组织信息系统安全防范技术投入欠缺;

9.软件保护欠缺;

10.计算机房､办公场所等物理防范措施欠缺;

11.档案､记录等缺少可靠贮存场所;

12.缺少一旦发生意外时的保证生产经营连续性的措施和计划;

看到这里，现在我吗知道 了，信息安全是通过执行一套适当的控制来达到的｡可以是方针､惯例､程序､组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现｡如果还想要继续了解的话，可以自行从网上查询了解。