信息安全概述BS7799

信息安全概述信息安全标准介绍BS7799第一页，共六十七页。信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准第二页，共六十七页。信息安全的CIA目标保护信息的保密性、完整性和可用性

——BS7799信息安全管理概述ConfidentialityIntegrityAvailabilityInformation第三页，共六十七页。组织的信息安全需求法律法规与合同条约的要求：有关信息安全的法律法规是对组织的强制性要求，组织应该将适用于组织的法律法规转化为组织的信息安全要求。计算机信息系统安全保护条例，知识产权保护，互联网安全管理规定……

考虑业务合作者和客户对组织提出的信息安全要求，包括合同要求、招标条件和承诺。组织的原则、目标和规定：组织为业务正常运作所特别制定的原则、目标及信息处理的规定。加强内部管理的要求。风险评估的结果：安全控制要求应针对每项资产所面临的威胁、存在的弱点、产生的潜在影响和发生的可能性等综合因素来分析确定。这是信息安全管理的基础。信息安全管理概述第四页，共六十七页。信息安全管理概述信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理的核心就是风险管理。信息安全管理第五页，共六十七页。BS7799的安全观技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全根本上说，信息安全是个管理过程，而不是技术过程信息安全管理概述第六页，共六十七页。威胁漏洞安全控制安全风险资产安全需求资产价值和潜在影响抵御利用增加增加暴露拥有增加需要减少满足信息安全管理诸要素第七页，共六十七页。AccessControlsAssetClassificationControlsInformationSecurityPolicySecurityOrganisationPersonnelSecurityPhysicalSecuritySystemDevelopmentContinuityPlanningComplianceINFORMATIONStaffRecordsClientRecordsFinancialRecordsCommunicationsManagement信息安全管理概述BS7799信息安全管理的内容InfosecurityIncidentmanagement

第八页，共六十七页。基于风险分析的安全管理方法信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。制定信息安全策略方针风险评估和管理控制目标和方式选择风险控制和处理安全保证信息安全策略方针为信息安全管理提供导向和支持。控制目标与控制方式的选择应该建立在风险评估的基础上。考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。需要全员参与。遵循管理的一般模式——PDCA模型。信息安全管理概述第九页，共六十七页。PDCA信息安全管理模型根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。实施所选的安全控制措施。针对检查结果采取应对措施，改进安全状况。依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。信息安全管理概述第十页，共六十七页。信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准第十一页，共六十七页。英国标准协会（BSI）英国标准学会（BritishStandardsInstitution，BSI）著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构

英国标准学会（BSI）是世界上最早的全国性标准化机构，它受政府控制但得到了政府的大力支持。BSI不断发展自己的工作队伍，完善自己的工作机构和体制，把标准化和质量管理以及对外贸易紧密结合起来开展工作

BSI的宗旨：

1.为增产节约努力协调生产者和用户之间的关系，促进生产，达到标准化（包括简化）

2.制定和修订英国标准，并促进其贯彻执行

3.以学会名义，对各种标志进行登记，并颁发许可证

4.必要时采取各种行动，保护学会利益BS7799标准简介第十二页，共六十七页。BS7799标准简介什么是BS7799？英国标准协会（BritishStandardsInstitute，BSI）制定的信息安全标准。由信息安全方面的最佳惯例组成的一套全面的控制集。信息安全管理方面最受推崇的国际标准。第十三页，共六十七页。BS7799的目的

"为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信"。BS7799标准简介第十四页，共六十七页。BS7799标准简介BS7799的历史沿革

1990年代初

——英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。

1993年9月

——颁布《信息安全管理实施细则》，形成BS7799的基础。

1995年2月

——首次出版BS7799-1:1995《信息安全管理实施细则》。

1998年2月

——英国公布BS7799-2:《信息安全管理体系规范》。

1999年4月

——BS7799-1与BS7799-2修订后重新发布。

2000年12月

——国际标准组织ISO/IECJTC1/SC27工作组认可通过BS7799-1，颁布ISO/IEC17799-1:2000《信息技术——信息安全管理实施细则》。

2002年9月

——BSI对BS7799-2进行了改版，用来替代原标准（BS7799-2:1999）使用，并可望通过ISO组织认可。ISO27001:2005——建立信息安全管理体系（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。第十五页，共六十七页。BS7799Part1BS7799199519992000200220052007ISO/IEC17799JISQ27002●●●●●●ISO/IEC17799JISX5080ISO/IEC270012005version2000version2005/062005-20062006●BS7799Part2ISMSVer1.0ISMSVer2.0JISQ270012005-20062005-2006BS7799标准简介BS7799的历史沿革第十六页，共六十七页。BS7799标准简介BS7799的发展现状第十七页，共六十七页。BS7799简介BS7799（老版）的内容第一部分是信息安全管理实施细则（CodeofPracticeforInformationSecurityManagement），在10个标题中定义了127项安全控制：第二部分是建立信息安全管理系统（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems），详细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准。安全策略Securitypolicy安全组织Securityorganisation资产分类与控制Assetclassification&control人员安全Personnelsecurity物理与环境安全Physical&environmentalsecurity通信与操作管理Communications&operationsmanagement系统开发与维护Systemsdevelopment&maintenance访问控制Accesscontrol业务连续性管理Businesscontinuitymanagement符合性Compliance第十八页，共六十七页。BS7799简介BS7799新版已经出台

ISO17799:2005

从10个域变到11个域，增加了“信息安全事件管理”去掉了9项控制，增加了17项控制，一共有133项控制加强了对人员离职、移动通信、软件漏洞和补丁管理的控制要求

BS7799-2:2002ISO27001:2005（略做修改）附录引向ISO17799:2005

原来的条款6（管理评审）分成现在的6（内审）、7（管理评审）两个部分

ISO17799:2000GB/T19716:2005第十九页，共六十七页。安全策略Securitypolicy人力资源安全Humanresourcesecurity物理与环境安全Physicalandenvironmentalsecurity通信与操作管理Communicationsandoperationsmanagement信息系统获取、开发和维护Informationsystemsacquisition,developmentandmaintenance信息安全组织Organizationofinformationsecurity资产管理Assetmanagement访问控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement业务连续性管理Businesscontinuitymanagement符合性ComplianceBS7799简介ISO17799:2005内容框架第二十页，共六十七页。其他类似或相关文档

BSIDISC提供了一组关于BS7799的系列指导文件（PD3000系列）：

PD3001–PreparingforBS7799CertificationPD3002–GuidetoRiskAssessmentandRiskManagementPD3003–“AreyoureadyforaBS7799Audit?”PD3004–GuidetoBS7799AuditingPD3005–GuidetotheselectionofBS7799controls

澳大利亚和新西兰等同采用BS7799，发布了AS/NZS4444（后来，根据ISO/IEC17799:2000颁布了AS/NZSISO/IEC17799:2001，根据BS7799-2:2002又颁布了AS/NZS7799.2:2003），此外，他们也有自己的信息安全管理标准，即AS/NZS4360。

ISO/IECTR13335，即IT安全管理指南（GuidelinesfortheManagementofITSecurity，GMITS），分5个部分。是信息安全管理方面的指导性标准，专注于IT领域，并不用于审计和认证。

ISO/TR13569，银行和相关金融服务信息安全指南。BS7799标准简介第二十一页，共六十七页。信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准第二十二页，共六十七页。Part1–提供一套由最佳惯例构成的安全控制，涉及11个方面，包括39个控制目标和133项控制措施，可作为参考文件使用，但并不是认证评审的依据。BS7799-ISO17799：2005信息安全策略安全组织资产分类和控制人员安全物理和环境安全通信和操作管理访问控制系统获得、开发和维护信息安全事件管理业务连续性管理依从性信息安全管理实施细则第二十三页，共六十七页。11个方面39个目标133个控制措施信息安全管理实施细则第二十四页，共六十七页。ISO17799:2005前言简介什么是信息安全（信息是一种资产，有多种存在形式，应该通过有效控制加以保护）为什么需要信息安全如何建立安全需求（安全需求的三个来源）评估安全风险（安全需求经过系统地评估安全风险而得到确认）选择控制（安全控制可以从7799或其它有关标准选择，也可以自己设计满足特定要求的控制）信息安全起点（基于法律要求和信息安全最佳实践来选择控制措施）关键的成功因素开发你自己的指南范围术语和定义2.1定义本标准的结构3.1条款3.2主安全目录4风险评估和处理

4.1评估安全风险

4.2处理安全风险信息安全管理实施细则第二十五页，共六十七页。5.信息安全策略

目标：信息安全策略——为信息安全提供与业务需求和法律法规相一致的管理指示及支持安全策略应该做到：对信息安全加以定义陈述管理层的意图分派责任约定信息安全管理的范围对特定的原则、标准和遵守要求进行说明对报告可疑安全事件的过程进行说明定义用以维护策略的复查过程信息安全管理实施细则第二十六页，共六十七页。信息安全管理实施细则6.安全组织

目标：信息安全基础设施——在组织内部管理信息安全外部组织——保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全包含的内容：建立管理委员会，定义安全管理的角色和责任对软硬件的采购建立授权过程与第三方签订的协议中应覆盖所有相关的安全要求。外包合同中的安全需求包括内部组织和外部伙伴第二十七页，共六十七页。信息安全管理实施细则7.资产管理

目标：资产责任——实现并保持组织资产的适当保护信息分类——确保对信息资产的保护达到恰当的水平包含的内容：组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。按照信息资产所属系统或所在部门列出资产清单。所有的信息资产都应该具有指定的属主并且可以被追溯责任。信息应该被分类，以标明其需求、优先级和保护程度。根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。TopSecretSecretConfidentialRestricted第二十八页，共六十七页。信息安全管理实施细则8.人力资源安全

目标：雇佣前——确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。雇佣中——确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。解聘和变更——确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行。包含的内容：故意或者无意的人为活动可能给数据和系统造成风险在正式的工作描述中建立安全责任，员工入职审查第二十九页，共六十七页。信息安全管理实施细则9.物理和环境安全

目标：安全区域——防止非授权访问、破坏和干扰业务运行的前提条件及信息。设备安全——预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰。包含的内容：应该建立带有物理入口控制的安全区域应该配备物理保护的硬件设备应该防止网络电缆被塔线窃听将设备搬离场所，或者准备报废时，应考虑其安全第三十页，共六十七页。信息安全管理实施细则10.通信和操作管理

目标：操作程序和责任——确保信息处理设施的正确和安全操作。第三方服务交付管理——实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。系统规划与验收——减少系统失效带来的风险。防范恶意代码和移动代码——保护软件和信息的完整性。备份——保持信息和信息处理设施的完整性和可用性网络安全管理——确保对网络中信息和支持性基础设施的安全保护。介质处理和安全——防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰。信息和软件的交换——应保持组织内部或组织与外部组织之间交换信息和软件的安全。

电子商务服务——确保电子商务的安全及他们的安全使用。监督——检测未经授权的信息处理活动。包含的内容：防病毒，防恶意软件进行变更控制做好备份，存储介质的安全处理，保存正确的访问日志，系统文件的安全性电子邮件安全性保护传输中的数据第三十一页，共六十七页。信息安全管理实施细则11.访问控制

目标：访问控制的业务需求——控制对信息的访问。用户访问管理——确保授权用户的访问，并预防信息系统的非授权访问。用户责任——预防未授权用户的访问，信息和信息处理设施的破坏或被盗。网络访问控制——防止对网络服务未经授权的访问。操作系统访问控制——防止对操作系统的未授权访问。应用访问控制——防止对应用系统中信息的未授权访问。移动计算和远程工作——确保在使用移动计算和远程工作设施时信息的安全。包含的内容：口令的正确使用对终端的物理访问自动终止时间软件监视等第三十二页，共六十七页。信息安全管理实施细则12.系统获得、开发与维护

目标：系统的安全需求——确保安全内建于信息系统中。应用系统的安全——防止应用系统信息的错误、丢失、未授权的修改或误用。加密控制——通过加密手段来保护细腻的保密性、真实性或完整性。系统文件的安全——确保系统文档的安全。开发和支持过程的安全——保持应用系统软件和信息的安全。技术漏洞管理——减少由利用公开的技术漏洞带来的风险。包含的内容：在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、测试数据的保护软件开发和维护中应该建立配置管理、变更控制等机制第三十三页，共六十七页。信息安全管理实施细则13.信息安全事件管理

目标：报告信息安全事件和弱点——确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。信息安全事故的管理和改进——确保使用持续有效的方法管理信息安全事故。

包含的内容：正常的事件报告和分类程序，这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点所有的员工、合同方和第三方用户都应该知晓这套报告程序。要求员工需要尽可能快地将信息安全事件和弱点报告给指定的联系方。第三十四页，共六十七页。信息安全管理实施细则14.业务连续性管理

目标：业务连续性管理的信息安全方面——：防止业务活动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保他们的及时恢复。包含的内容：全面理解业务连续性计划（BCP）理解组织面临的风险，识别关键业务活动和优先次序。确认可能对业务造成影响的中断。应该设计、实施、测试和维护BCP第三十五页，共六十七页。信息安全管理实施细则15.符合性

目标：与法律法规要求的符合性——避免违反法律、法规、规章、合同要求和其他的安全要求。符合安全方针、标准，技术符合性——确保系统符合组织安全方针和标准。信息系统审核的考虑因素——最大化信息系统审核的有效性，最小化来自/对信息系统审核的影响。包含的内容：组织应该确保遵守相关的法律法规和合同义务

软件版权，知识产权等第三十六页，共六十七页。信息安全管理实施细则BS7799认证最基本的控制项与法律相关的控制措施：

知识产权（IntellectualPropertyRights）：防止非拥有者授权的复制，避免侵犯知识产权

保护组织的记录：保护重要的记录不丢失、破坏和伪造

数据保护和个人信息隐私：遵守所在国的数据保护法律与最佳惯例相关的控制措施：

信息安全策略文件：为信息安全提供管理方向和支持

信息安全责任的分配：分派安全责任，使信息安全在组织内部得以有效管理

信息安全教育和培训：保证用户有信息安全威胁意识、关心信息安全并支持组织信息安全策略

报告安全事件：最大程度减小安全事件和故障造成的破坏，监视事件，从中吸取教训

业务连续性管理：减少业务活动中断，保护关键业务过程不受重大事件或灾难影响第三十七页，共六十七页。信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准第三十八页，共六十七页。信息安全管理体系规范Part2–包含用于审计的需求规范，可形成度量组织ISMS的基准。BS7799-ISO27001解释标准的作用和所用的定义解释相关术语解释建立和维护文档化的ISMS的要求列举可用的控制和控制目标是依照BS7799对组织的ISMS进行评估认证的基础第三十九页，共六十七页。信息安全管理体系规范BS7799-2简介BS7799标准对信息安全管理体系（ISMS）并没有一个明确的定义，可以将其理解为组织管理体系的一部分。

ISMS涉及到的内容：用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。标准要求的ISMS建立过程：制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性。

ISMS应形成一定的文档，包括策略、适用性声明文件和实施安全控制所需的程序文件。一个文档化的ISMS应该阐述：要保护的资产，组织进行风险管理的途径，控制目标和控制方式，需要的保障程度。第四十页，共六十七页。建立ISMS管理框架的过程定义安全策略威胁、弱点、影响组织风险管理的途径要求达到的保障程度BS7799-2第三段列出的控制目标和控制不在BS7799范围内的其他安全控制Step1Step2Step3Step4Step5Step6策略文档ISMS的范围风险评估适用性声明信息资产结果和结论选定的控制选项选择的控制目标和控制定义ISMS范围进行风险评估管理风险选择控制目标和控制并加以实施准备适用性声明信息安全管理体系规范第四十一页，共六十七页。ISO17799PeopleCISOSecurityISOSSOSecurityOrganisationProceduresIncidentHandlingIncidentReportingDisasterRecoveryRiskAssessmentBusinessContinuityPlanPoliciesSecurityPolicy信息安全管理体系规范BS7799的输出结果第四十二页，共六十七页。ISMS的文档体系Procedures程序WorkInstructions,checklists,forms,etc.工作指导书,检查清单,表格等Records

纪录SecurityManual

安全手册Policy,scoperiskassessment,statementofapplicabilityDescribesprocesseswho,what,when,where.DescribeshowtasksandspecificactivitiesaredoneProvidesobjectiveevidenceofcompliancetoISMSrequirements第一级关于BS7799的管理框架的方针策略第二级第三级第四级信息安全管理体系规范第四十三页，共六十七页。为了与诸如ISO9000和ISO14001这样的管理体系标准保持一致，也为了引入PDCA模型，以便建立、实施、维护和持续改进组织的信息安全管理体系，2002年9月5日，BS7799-2:2002草案经过广泛的讨论，终于发布成为正式标准，与此同时，BS7799-2:1999被废止。信息安全管理体系规范第四十四页，共六十七页。BS7799-2新版本的特点引入了PDCA模型。与其他管理体系标准保持协调关系。基于PDCA模型的信息安全管理过程方法。对风险评估过程、控制选择和适用性声明内容之间的联系予以澄清，在定义上也有改进。附录中提供了对此新版本使用的指南。附录中还列举了BS7799-2:2002、ISO9001:2000和ISO14001:1996之间的一致性。信息安全管理体系规范第四十五页，共六十七页。建立ISMS环境&风险评估设计&实施ISMS监视&复审ISMS改进ISMS开发、维护和改进生命周期PlanDoCheckAct利益伙伴信息安全需求和期望利益伙伴得到管理的信息安全PDCA模型在ISMS过程中的运用信息安全管理体系规范第四十六页，共六十七页。建立ISMS（Plan）定义ISMS的范围（从业务、组织、位置、资产和技术等方面考虑）定义ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明（SoA）取得管理层对残留风险的承认和实施并操作ISMS的授权信息安全管理体系规范第四十七页，共六十七页。实施和操作ISMS（Do）制定风险处理计划（RiskTreatmentPlan）实施风险处理计划实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源实施能够激发安全事件检测和响应的程序和控制信息安全管理体系规范第四十八页，共六十七页。信息安全管理体系规范监视和复审ISMS（Check）执行监视程序和控制对ISMS的效力进行定期复审（看其是否满足安全策略和目标，安全控制是否有效）复审残留风险和可接受风险的水平，考虑到各种变化情况按照预定计划进行内部ISMS审计定期对ISMS进行管理复审记录活动和事件可能对ISMS的效力或执行力度造成影响第四十九页，共六十七页。信息安全管理体系规范维护和改进ISMS（Act）对ISMS实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标第五十页，共六十七页。信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准第五十一页，共六十七页。BS7799认证过程通过BS7799认证的好处

依据BS7799-2对组织的信息安全管理体系（ISMS）进行认证，可以证明组织已经遵照BS7799-2标准的要求实施了信息安全管理的体系。帮助组织获得最佳的信息安全运作方式。保证业务活动的安全。降低风险，避免损失。保持核心竞争优势。提高组织在商业活动中的信誉。满足客户的要求。保证可持续发展。符合法律法规的要求。第五十二页，共六十七页。认证过程选择受认可的认证机构Phase1：文档审核Phase2：现场审查维持认证组织应该向认证机构提供必要的信息复审风险评估文档、安全策略和适用性声明复审ISMS的其他文档

ISMS的实施情况风险管理决策的基础组织被授予证书后，审核组每年都会对其ISMS符合性进行检查。证书三年有效，之后需要再次认证。组织必须向认证机构通报任何变化。预审（Pre-assessment）可选BS7799认证过程第五十三页，共六十七页。BS7799认证过程第五十四页，共六十七页。BS7799认证过程成功的关键因素安全策略、目标和活动应该反映业务目标实施信息安全的方法应该与组织的文化保持一致来自高级管理层的明确的支持和承诺深刻理解安全需求、风险评估和风险管理向所有管理者和员工有效地推广安全意识分发信息安全策略、指南和标准给所有员工及签约人提供适当的培训和教育建立完整而平衡地测量体系，用来评估信息安全管理体系的表现，提供改进的反馈建议第五十五页，共六十七页。信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准第五十六页，共六十七页。BS7799总结展望总结BS7799的特点

BS7799并不是系统安全评估的标准

BS7799从整体角度考虑，提出了构建ISMS的目标和方法，是构建ISMS的指南，但没有提供具体的等级评价标准，并不能作为信息系统安全评估的依据，这和CC等其他评估标准是不同的

BS7799针对的是信息安全管理，强调连续性，并以控制为手段所有的安全控制手段都是为构建ISMS服务的该标准告诉我们要做什么，但并不限定具体实现的方法和技术

BS7799提出了可供认证的ISMS（目标），而具体实现这一目标的某些活动，比如风险评估和控制的选择，则可以参照ISO13335这样的信息安全管理指南属于风险管理的范畴

ISMS是基于风险评估来建立的，经过了风险评估、风险管理和风险接受三个阶段，并且实现可用性和安全性、投入和效益的平衡体现了预防为