BS7799, ISO17799与ISO27001的关系

信息发展到今，人们越来越认识到管理在整个信息建设过程中的重要性，而作为信息管理方面的标准——ISO27001（即之前所称的BS7799标准），则成为可以指导我们现实工作的好的参照。

BS7799是英国标准协会（British Standards Institute，BSI）于1995年2月制定的信息管理标准，分两个部分，其一部分于2000年被ISO组织采纳，正式成为ISOIEC 17799标准。该标准2005年经过新改版，发展成为ISOIEC 177992005标准。BS7799标准的二部分经过长时间讨论修订，也于2005年成为正式的ISO标准，即ISOIEC 270012005。

ISO177992005标准（即BS7799一部分），是信息管理实施细则（Code of Practice for Information Security Management），其中包含11个主题，定义了133个控制。ISO177992005中的11个主题分别是：

◆ 策略（Security policy）；
◆  信息组织（Organization of information security）；
◆  资产管理（Asset management）；
◆  人力资源（Human resource security）；
◆  物理和环境（Physical and environmental security）；
◆  通信和管理（Communication and operation management）；
◆   访问控制（Access control）；
◆  信息系统获取、开发和维护（Information systems acquisition, development and maintenance）；
◆  信息管理（Information security incident management）；
◆  业务连续性管理（Business continuity management）；
◆  符合性（Compliance）。

ISO270012005标准，是建立信息管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息管理体系的要求，指出实施应该遵循的风险评估标准，当然，如果要得到BSI的认 证（对依据ISO27001建立的ISMS进行认 证），还有一系列相应的注册认 证过程。作为一套管理标准，ISO27001指导相关人员怎样去应用ISOIEC 17799，其目的，还在于建立适合企业需要的信息管理体系。