B S  7 7 9 9
資 訊 安 全 管 理 體

---

BS7799 是資訊安全管理體系 (ISO/IEC 17799)，由英國標準協會 (BSI) 發佈。用意是現代企業對資訊的依賴越來越大，沒有各種資訊的支援，企業就不能發展。事實上，資訊已成為現代企業的一種重要資產，成為企業成功的關鍵所在。這種資產，更需要加以妥善保護。否則，可能由於人員的原因 (疏忽、跳槽、破壞) 、競爭對手原因 (商業間諜、收買、盜竊、網路攻擊) 和自然災害 (火災、水災、地震) 等原因，在一瞬間被毀滅、消失、損壞、盜竊、貶值、轉移，給企業帶來致命的打擊。


BS7799 為企業帶來什麼好處?

可使資訊風險的發生概率和結果降低到可接受收水平，並採取措施保證業務不會因風險的發生而中斷。


BS7799 的管理過程：

1. 確定資訊安全管理方針；
2. 確定 ISMS (資訊安全管理體系) 的範圍；
3. 進行風險分析；
4. 選擇控制目標並進行控制；
5. 建立業務持續計劃；
6. 建立並實施安全管理體系。


資訊的概念：

資訊：不僅僅是電腦、網絡相關的數據、資料、也包括：專利、商業檔案、文件、標準、專有技術、客戶資料、統計數據、圖樣、配方、報價、規章制度、財務數據、工藝、計劃、資源配置、管理體系。


BS7799 的主要條文內容：

• 安全方針－為資訊安全提供管理指導和支援；
• 安全組織－在公司內管理資訊安全；
• 資產分類與管理－對公司的資產採取適當的保護措施；
• 人員安全－減少人為錯誤、偷竊、欺詐或濫用設施的風險；
• 實體和環境安全－防止對商業場所及資訊未經授權的取得、損壞及干擾；
• 通訊與動作管理－確保資訊處理設施正確和安全運行；
• 接觸管制－管制對資訊的接觸；
• 體系的建立和維持－確保將安全納入資訊體系；
• 商業活動連續性管理－防止商業活動的中斷，並保護關鍵的業務過程免受重大故障或災難的影響；
• 符合法律－避免違反任何刑法和民法、法律法規或合同義務以及任何安全要求。

認證流程和顧問服務過程：

與 ISO 系列認證及顧問服務過程相似。