英國標準協會(BSI)編制的信息安全管理體系標準BS 7799-Part 1(ISO 17799)和BS 7799-Part 2為各類機構和企業的信息安全管理提供了完整的管理框架。這套‘姐妹對’標準指導機構和企業建立完整的信息安全管理體系,從分析機構和企業面臨的安全風險的角度,動態、全面、有效、持續地改善企業的信息安全風險,強調信息安全管理的目的是保持機構和企業的連續性不被信息安全事件破壞。需要從機構或企業現有的資源和管理基礎上建立信息安全管理體系(ISMS),不斷提高信息安全管理水平,使機構或企業的信息安全以最小的成本達到所需的水平。保護信息安全,建立信息安全管理體系是機構或企業運營中的重要工作之壹,尤其是BS 7799-2: 2002,是目前最完整的參考。它以“計劃、實施、檢查、行動”的方式將管理體系規範引入機構或企業,以達到“持續改進”的目的。
隨著世界信息化水平的不斷發展和全球貿易壹體化的不斷加深,信息系統已經廣泛應用於商業和政府機構。許多組織越來越依賴其信息系統,加上在信息系統上開展業務的風險、好處和機會,使得信息安全管理成為企業管理中越來越重要的壹部分;在很多場合,它已經成為壹個組織生存或貿易逆差成敗的決定性因素,因此信息安全逐漸成為人們關註的焦點。世界各國、各機構、組織和個人都在探索如何保證信息安全,相關部門和研究機構也投入了相當大的人力、物力和資金試圖解決信息安全問題。
在組織的決策層竭力保證組織的信息安全的同時,破壞者總能得道高壹尺,魔高壹丈,無數的電腦病毒,不可預知的電腦黑客,各種層出不窮的泄密事件就是明證。以中國為例,近年來發生了壹系列不同程度的信息安全事件。這些事件不僅僅是簡單的信息系統癱瘓問題,還會導致巨大的經濟損失和惡劣的社會影響。如果經濟損失可以彌補,那麽信息網絡的脆弱性造成的網絡社會的公眾信任危機也不可能在短時間內恢復。
安全感是買不到的。沒有在打開包裝盒後即插即用並提供足夠安全級別的安全保護系統。因此,雖然有些企業安裝了壹些安全產品,但並不意味著它們擁有真正的安全系統。而且相關調查數據顯示,75%以上的信息系統泄露和惡意攻擊都是人為造成的,即由於信息安全管理的缺位。而技術本身其實只是信息安全體系的壹小部分。再先進的技術,也只是幫助實現信息安全的手段。大部分信息安全管理專家認為技術不是不重要,但是在信息安全的框架下,必須建立在良好的信息安全管理基礎上,所以業內稱為三分技術七分管理。
正是在世界環境和學術界壹致認同的原則下,各國研究機構研究制定了信息安全管理、風險評估和信息安全技術的標準,而世界標準界享有盛譽的機構英國標準協會(BSI)在成功奠定ISO9000、ISO14000、OHSAS18000等世界著名標準的堅實基礎後,又壹次在信息安全管理領域走在了前列,其BS7799信息安全管理標準再次成為最權威的標準
早在1995年2月,英國標準協會(BSI)就提出制定信息安全管理標準,並在1995年5月迅速完成,在1999年6月再次修訂。BS7799分為兩部分:BS7799-1,信息安全管理實施細則;BS7799-2信息安全管理體系規範;其中,BS7799-1:1999於2000年2月獲得ISO/IECJTC1(國際標準化組織和國際電工委員會聯合技術委員會)的批準,正式成為國際標準,即ISO/IEC17799:2000《信息技術》這是通過ISO投票最快的標準,可見世界各國對該標準的關註和接受程度。2002年9月5日,英國標準化協會發布了新版本BS7799-2:2002,而不是BS7799-2:1999。