文档介绍：网络安全管理标准BS799下载(中文)-1
信息安全
管理
BS 7799-1:1999
第一部分:信息安全管理
业务手则
前言
BS 7799 本部分内容,即信息安全管理,是在 BSI/DISC  委员会 BDD/2 指导下完成的。它取代了已经停止使用的 BS 7799:1995。
BS 7799 由两个部分组成:
l       第一部分:信息安全管理业务守则;
l       第二部分:信息安全管理系统规范。
BS 7799-1 首发于 1995 年,它为信息安全提供了一套全面综合最佳实践经验的控制措施。其目的是将信息系统用于工业和商业用途时为确定实施控制措施的范围提供一个参考依据,并且能够让各种规模的组织所采用。
本标准使用组织这一术语,既包括赢利性组织,也包括诸如公共部门等非赢利性组织。
1999 年的修订版考虑到最新的信息处理技术应用,特别是网络和通讯的发展情况。它也更加强调了信息安全所涉及的商业问题和责任问题。
本文档所说明的控制措施不可能完全适用于所有情况。它没有考虑到本地系统、环境或技术上的制约因素。并且在形式上也不可能完全适合组织的所有潜在用户。因此,本文档还需要有进一步的指导说明作为补充。例如,在制定公司策略或公司间贸易协定时,可以使用本文档作为一个基石。
British Standard
作为一个业务守则,在形式上采用指导和建议结合的方式。在使用时,不应该有任何条条框框,尤其特别注意,不要因为要求遵守守则而因噎废食。
本标准在起草时就已经假定一个前提条件,即标准的执行对象是具有相应资格的、富有经验的有关人士。附件 A 的信息非常丰富,其中包含一张表,说明了 1995 年版各部分与 1999 年版各条款间的关系。British Standard 无意包容合约的所有必要条款。British Standards 的用户对他们正确使用本标准自负责任。
符合 British Standard 不代表其本身豁免法律义务。
什么是信息安全?
信息是一种资产,就象其它重要的商业资产一样,它对一个组织来说是有价值的,因此需要妥善进行保护。信息安全保护信息免受多种威胁的攻击,保证业务连续性,将业务损失降至最少,同时最大限度地获得投资回报和利用商业机遇。信息存在的形式多种多样。它可以打印或写在纸上,以电子文档形式储存,通过邮寄或电子手段传播,以胶片形式显示或在交谈中表达出来。不管信息的形式如何,或通过什么手段进行共享或存储,都应加以妥善保护。
信息安全具有以下特征:
a)    保密性:确保只有经过授权的人才能访问信息;
b)    完整性:保护信息和信息的处理方法准确而完整;
c)    可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。
为什么需要信息安全
信息和支持进程、系统以及网络都是重要的业务资产。为保证组织富有竞争力,保持现金流顺畅和组织赢利,以及遵纪守法和维护组织的良好商业形象,信息的保密性、完整性和可用性是至关重要的。
各个组织及其信息系统和网络所面临的安全威胁与日俱增,来源也日益广泛,包括利用计算机欺诈、窃取机密、恶意诋毁破坏等行为以及火灾或水灾。危害的来源多种多样,如计算机病毒、计算机黑客行为、拒绝服务攻击等等,这些行为呈蔓延之势遍、用意更加险恶,而且手段更加复杂。组织对信息系统和服务的依赖意味着自身更容易受到安全威胁的攻击。公共网络与专用网络的互联以及对信息资源的共享,增大了对访问进行控制的难度。分布式计算尽管十分流行,但降低了集中式专家级控制措施的有效性。很多信息系统在设计时,没有考虑到安全问题。通过技术手段获得安全保障十分有限,必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划,并对细节问题加以注意。

作为信息安全管理的最基本要求,组织内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。
如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施,那么信息安全控制的成本会很低,并更有效率。
如何制定安全要求
组织确定自己的安全要求,这是安全保护的起点。安全要求有三个主要来源。第一个来源是对组织面临的风险进行评估的结果。通过风险评估,确定风险和安全漏洞对资产的威胁,并评价风险发生的可能性以及潜在的影响。
第二个来源是组织、其商业伙伴、承包商和服务提供商必须满足的法律、法令、规章以及合约方面的要求。
第三个来源是一组专门的信息处理的原则、目