BS7799分两个部分
第一部分,也就是纳入到ISO/IEC 17799:2000标准的部分,是信息安全管理实施细则(Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员作为参考使用,其中分十个标题,定义了127个安全控制。
BS7799-1:1999(ISO/IEC 17799:2000)中的十个内容标题分别是
·安全策略 Security policy
·资产和资源的组织 Organization of assets and resources
·人员安全 Personnel security
·物理和环境安全 Physical and environmental security
·通信和操作管理 Communication and operation management
·访问控制 Access control
·系统开发和维护 System development and maintenance
·业务连续性管理 Business continuity management
·符合性 Compliance
第二部分,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的认证(对依据BS7799-2建立的ISMS进行认证),还有一系列相应的注册认证过程。目前,BS 7799-2的2002年版本已经递交ISO组织,可望成为国际标准。
转播
