, k" L0 Q$ q! k% B$ u. PBSI,英国标准协会 : l' ]- T7 a7 Z% b/ S
: r2 H  O/ Y0 M7 [- i
ISO,国际标准化组织 1 p8 [: q. Z5 V/ U8 Q: e5 }2 L& M8 T& G

" @- A$ S- l+ c. l" P, d  SIEC,国际电工委员会
# y, |+ q7 U' _
" Y. S; Z( E+ `& v2 z- V9 x& v. y) @# X; K4 `
2. 标准之间的关系 ; w3 t# x3 b2 Z/ n8 k" W

6 E1 a/ e3 t* l4 D, W7 C  hBS7799 是BSI针对信息安全管理而制定的一个标准，其最早始于1995 年.BS 7799分为两个部分： : M0 g7 D( P8 K4 ?

6 j- _9 g  n) U9 ^- \第一部分，名为（Code of Practice for Information Security Management），于2000年被采纳为ISO/IEC 17799，目前其最新版本为2005版，也就是常说的ISO 17799:2005。
, w# a9 D' W8 G! R9 G: X; p
# I; T1 w% }/ F$ P) C第二部分(for Information Security Managemenet Specification ），其最新修订版在05年10月正式成为ISO27001， / l- u0 k" r# Z) X+ I: b- ^

; N  O  n( R1 r+ T( }7 H1 ^
0 }7 x; F: [+ K. D3. 标准简介
5 Q! \% A3 ?8 x7 w3 ~( e3 a# K
. t& R: v( S6 I7 T第一部分，已于2000年被采纳为ISO/IEC 17799，是信息安全管理实施细则Code of Practice for Information Security Management）。其05年最新版本涉及信息安全管理的各个方面： 4 k* H% t* C, m. d6 p5 J; O
  J2 v( _& }. k
安全策略（Security Policy）
# |8 M# ~5 {) ^4 ~. j; O5 b信息安全的组织结构（Organization of information security） " p2 y7 \; @# g: m3 {& ?, l
资产管理（Asset Management）
$ m8 s, g2 F! A+ L8 u$ f2 {; P" g人力资源安全（Human resources security） 1 F: {/ ]  K+ `6 X- |! A
物理和环境安全（Physical and environmental security）
/ R5 Z( {0 b9 O( z- @6 E通信和操作管理（Communication and operations management） ; w: q3 X* ?1 @( w6 |& @% U
访问控制（Access control）
) I# M( t9 {% T% n+ U- F系统采购、开发和维护（Information systems acquisition, development and maintenance）
4 G4 j5 L) R' D; S, k$ S信息安全事件管理（Information security incident management） # L5 n. T0 Z5 U* Q- A1 V5 Y
业务连续性管理（Business continuity management）
/ p& `( w- w) }" S" z符合性（Compliance）
; g" W# J) t! a
) i( V% x$ g, x! s& K( OBS 7799通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节，还有39个主要安全类和133个具体控制措施（最佳实践），供负责信息安全系统开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。 7 \  G+ l+ a7 Q  \* H' }! t

6 v% J) I8 o/ R8 T第二部分内容，05年10月正式成为ISO27001，是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO 17799，其最终目的，在于建立适合企业需要的信息安全管理体系（ISMS）。 " r% a$ q  O0 ~/ Q6 C- l0 [' K
0 `4 [' K+ u, M- a3 p! `

! }5 F  @. _* q0 u4.发展方向 ( T: j: Y0 y, g: z
: R3 r9 p, f( T2 f7 u; g
BS 7799-3:2005 - information security management systems - guidelines for information security risk management” is a new British Standard due for release in December 2005 4 V1 Q' |1 U9 I5 O2 H4 b+ @

& O- u' y* {5 v# x8 k将来新的ISO27000系列安全标准将有5个部分组成:   }, E0 Z" }* {2 T2 t

+ w* ]* C3 X8 v# k# \( }, q  t7 h/ o
ISO 27000 will formally define the specific technical vocabulary used in these standards;
% G4 n$ i. q' K# v+ T! v( O! @5 S9 p$ `
ISO 27001 will be the ISO version of BS 7799-2, the certification standard (due for full release in November 2005, already available as a final draft); " h" R  ?* `- W

. K" _: a" R; U8 D$ I) PISO 27002 will be the renamed and updated version of ISO 17799:2005 (to be released in 2006 or 2007); ) W6 T6 m0 f8 V/ g3 y
1 m. ~! G0 g# s8 V6 h
ISO 27003 will contain guidance for those implementing the ISO 27000-series standards; 2 ^7 q' S8 M5 t% }: b& R- r) V5 v
, K2 x/ m' R1 S; D/ `
ISO 27004 will be a new Information Security Management Metrics and Measurement standard to help measure the effectiveness of information security management system implementations (currently in draft); 9 H  C8 ?4 N6 w7 S

* Q. d' d6 j( |9 j* I/ G+ d( [ISO 27005 will be the ISO version of BS 7799-3
3 t% Y# g0 G& F( n0 W9 E& ?; w8 I3 Z  O

; `0 W0 h% d  w: e5 O3 f6 N1 G. ^' K, ]  i/ x. t% C
--------------------------------------------------------------------------------
' B; c: B) e, b9 a/ M1 j) E9 q& @# Z" O. f0 [" F
另外，CISSP论坛Iamapuma补充如下：, C0 }; F7 z0 B7 a" U, K
标准发展历史:
) q* L6 _; C7 k4 O7 M- p4 F( Q2 ?2 d
) W/ x: G6 z9 W& ~1993年,BS7799由英国贸易工业部立项
. o0 O. O6 ^6 L3 s1995年,出版BS7799-1:1995
. a( T( E4 P( k7 @- O( U( j8 J1998年,出版BS7799-2:1998
+ S( j2 U+ c& G1999年,出版BS7799-1:1999和BS7799-2:1999 1 D( ^! m' s/ ]9 v4 P
2000年12月,BS7799-1:1999通过ISO认可,成为国际标准,标准号为ISO/IEC17799:2000
- N# @7 I5 \2 G& U; f/ J/ G2 F2002年,出版BS7799-2:2002
$ d+ p5 R* x% x' R/ k5 X) A* p" ]2005年6月,ISO17799:2000改版为ISO17799:2005;
! h# O4 f$ y) T! y+ x2 s* x8 t# N4 [2005年10月BS7799-2:2002改版为ISO27001:2005. ) ^: u. A6 t0 n6 D
, b! v  V/ ^  k
ISO27001的11个控制区域如下翻译更好一些:
/ I, _/ U1 ?; z5 ^" W
. o) h1 O% H' p1 w! d8 l6 e信息安全方针 & O2 d9 D/ E/ I* l" B3 s+ C, Q+ m
组织信息安全
# p$ y0 K3 d1 n4 ^; S1 w; I资产管理 , V# C+ ^8 J6 s+ G: d) J3 i0 P
人力资源安全
: D  `; Y( J7 E/ n物理与环境安全
) p8 @! I9 Y9 j2 r! E通信和操作管理
' I2 T8 y% I0 u+ X访问控制
* f' N% \$ L2 J: [: q信息系统获得、开发与维护
) k: x( ?" E& P+ X信息安全事件管理 * G+ L3 X0 p' b6 ~0 F2 r
商业连续性管理 " ~+ z. A+ }1 a
适用性