1995年,英国标准机构(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨在规范、引导信息安全管理体系的发展过程和实施情况。BS7799标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的管理体系。只要实施得当,BS7799标准将帮助企业检查并确认其信息安全管理手段和实施方案的有效性。
从企业外部来看,BS7799关注信息的可用性、机密性和完整性,至今这仍然是这项标准致力达到的目标。BS7799集中关注企业组织层面上的风险规避(一定程度上主要是商业和金融风险),而不包括避免每一个潜在风险的保护措施——尽管它们至关重要。
BS7799***初仅有一份文档,且具有明显的实践指南性质。也就是说,它为组织提供信息安全指引,但没有形成规范,不能为外部第三方审计和认证等提供依据。随着越来越多的企业开始认识到来自信息安全的威胁波及范围越来越广,影响程度越来越大,并且关于数据和隐私权保护的法律法规不断出台,信息安全标准认证的需求开始不断增加。
这种需求的增加***终促成了该项标准第二部分的出台,即标准规范。实践指南和标准规范之间的关系是这样的:标准规范是认证方案的基础,同时标准规范要求实践者遵从实践指南的指引。
这个实践指南***近被修订为ISO/IEC 17799:2005,标准规范也被修订为ISO/IEC 27001:2005,逐步得到国际认同。
许多国家也已发布了自己的相关标准,比如AS/NZS7799。这些标准的国际化版本可以在世界任何国家得到认可,这促使了本土化标准的消退(除了基于两个标准号码基础上的本土化标准以外)。
认证与遵从
一个组织可以仅遵从ISO17799来建立和发展ISMS(信息安全管理体系),因为实践指南中的内容是普遍适用的。然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲,这就表明一个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标准的机构组织,可以建立一个完全符合认证具体要求的ISMS,同时这个ISMS体系也符合实践指南的要求,于是,这一组织就可以获得外界的认同,即获得认证。