ISO/lEC 17799为信息安全管理提供新的国际标准

由ISO/IEC联合修订的标准17799为处于萌芽状态的电子商务社会进行信息安全管理提供了新的国际基准。新修改的ISO/IEC17799，信息技 术一安全方法一信息安全管理应用规范，把该领域的最新发展融为一体．使之成为实用的国际标准规范。现代相互关联的电子商务环境是该标准的主要受益者。因为 现在的信息容易受到日益增长的各种各样的威胁和攻击．负责开发ISO/IEC17799：2005的ISO/IEC工作小组会议召集人特德·汉弗莱说： “该标准的修订版在信息安全最优方法方面向组织提供了许多艺术级的增加和改进。” ISO/lEC17799：2005是一个信息安全管理的应用规范。这个标准不是一个认证标准，既不是为此而设计的，也不适合于此目的。在今年的最后一个 季度(目前预计2005年11月发布)还将发布一个与之配套的技术规范性标准ISO/IEC27001，信息安全管理体系要求，该标准可以用于认证。 新版的标准在更广泛的意义上致力于信息安全，为任何组织贯彻、维护和管理信息安全、以任何形式生产和使用信息，提供了最好的商业惯例、指导方针和一般原 则。 任何组织都有资产，其资产的连续性应该是必需的、可以论证的。而各种形式的信息，印刷的、电子储存的、邮寄的或电子邮件的、显示在胶片上的或口头的，是最 重要的资产。对大多数企业来说，信息安全可能是保持其竞争优势、现金流转、利润率、合法地位和商业形象所必需的。此外，许多企业和大多数非商业性组织把信 息作为它们的惟一资产，信息安全的缺乏可能威胁到它们的完整性，因此也就威胁到它们的生存。 ISO/IEC17799：2005承认．通过纯技术手段达到的安全程度是有限的。必需的安全程度。是通过评估破坏安全所造成的风险和相关费用的程度与贯 彻安全的费用来确定的．它应该通过适当的管理控制和程序来推动．信息安全管理要求组织内全体成员的参与，这是最起码的，它可能还要求股东、供应商、第三方 和消费者的参与。 ISO/IEC17799：2005确定了对构成信息安全出发点的控制，它包括关键成功要素、信息安全的组织、资产管理、人力资源、自然与环境安全、通讯 和运行管理、信息系统获得、发展和维护、事故管理、商业连续性管理等，它注定要成为各种类型和规模的组织(无论是公立的还是私营的)的一个必需的工具。 特德·汉弗莱还表示。这个标准的用户可以向其生意伙伴、消费者和供应商证明。他们是完全适合和足够安全与之做生意的．并向他们提供了把他们在信息安全方面 的投资变为商业机会的可能。 专家认为，这个修订版的ISO/IEC17799：2005是目前已经开发的管理信息安全的最重要的标准。它真正为全世界所有组织确立了一种信息安全方面 的国际共同语言。