一、IEC标准介绍

信息安全管理正在逐步受到安全界的重视，加强信息安全管理被普遍认为是解决信息安全问题的重要途径。但由于管理的复杂性与多样性，信息安全管理制度的制定和实施往往与决策者的个人思路有很大关系，随意性较强。信息安全管理也同样需要一定的标准来指导。这就是英国标准协会（BSI）制订并于1999年修订的《信息安全管理标准》（BS7799）受到空前重视的原因。如今BS7799的一部分已经在2000末被采纳为国际标准，以标准号ISO/IEC17799发布，全名为《信息安全管理操作规则》。我国很多行业已经在参照BS7799或ISO/IEC17799制定自己的行业信息安全管理法规。但需要指出，管理问题极为复杂，单纯依靠一部标准难免有失偏颇，况且国际信息安全界对ISO/IEC17799的争议很多。鉴于界内对BS7799或ISO/IEC17799的高度关注及其引发的各种争论，美国国家标准和技术研究所（NIST）在2001年8月发布了非官方性质的ISO/IEC17799 FAQ，以期通过对背景资料的介绍，使围绕ISO/IEC17799的讨论更有意义。本文作者从中摘录了部分材料，希望通过对ISO/IEC17799 FAQ的介绍，使大家能够从侧面更深入地了解ISO/IEC17799。 

ISO/IEC17799的目的是什么？ 

根据官方的报告，ISO/IEC17799的目的是"为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信"。 

ISO/IEC17799覆盖那些内容？ 

作为一个通用的信息安全管理指南，ISO/IEC17799的目的并不是告诉你有关"怎么做"的细节，它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明，它是"制订一个机构自己的标准时的出发点"，并不是说它所包含的所有方针和控制策略都是放之四海而皆准的，也不是其它未列出的便不再要求。在这样的原则指导下，这份65页的文档简要地讨论了如下的主题： 

* 建立机构的安全策略 

* 机构的安全基础设施 

* 资产分类和控制 

* 人员安全 

* 物理与环境安全 

* 通讯与操作管理 

* 访问控制 

* 系统开发和维护 

* 业务连续性管理 

* 遵循性 

ISO/IEC17799不涉及哪些内容？ 

ISO/IEC17799不是一篇技术性的信息安全操作手册，它讨论的主题很广泛，如上所列。但是，它对每一项内容的讨论都没有深入下去。所以，ISO/IEC17799没有提供关于任何安全主题的确定或专门的材料。 

17799没有提供足够的信息以帮助一个机构进行深入的信息安全检查，它离认证项目也还差得远。但是，作为对各类信息安全主题的高级别概述，17799显然是非常有用的，它有助于人们在高级管理中理解每一类信息安全主题的基础性问题。 

需要说明，目前已经有几个国家指出，17799的某些部分与其国家法律存在着冲突，尤其是在隐私领域。

ISO/IEC17799与密码、数字签名或PKI互操作性的关系是怎样的？ 

17799涉及到一些密码的事情。但是，17799中没有包含与密码项目的开发和管理--比如PKI互操作性--有关的足够信息。17799中谈论PKI的内容不过区区几句话。

NIST发布的800-21《密码实施准则》现在可以免费下载，这里面包含了建立各种与密码有关的安全项目时的实施准则，可见http://csrc.nist.gov/publications/nistpubs/index.html。 

ISO/IEC17799与BS7799的关系怎样的？ 

BS7799是英国标准学会（BSI）开发的一篇由两部分组成的安全管理标准，在英国政府的支持下，它在英国得到了非常广泛的应用。BS7799的两部分如下： 

* 7799-1（第一部分）：《信息安全管理操作规则》。它不是一个机构的信息安全管理项目的规范--这种规范称为"信息安全管理系统（ISMS）"，而且，到目前为止，7799-1还不能用于认证的目的。请注意，ISO/IEC17799的当前版本（不久它就会出新版本）是完全基于BS7799-1的。 

* 7799-2（第二部分）：《信息安全管理系统规范》。该部分是安全控制的"核对表"（checklist）。英国方面认为，BS7799-2是ISMS，可以用于认证的依据。7799-2与ISO/IEC17799没有直接联系。 

BSI在2000年初将BS7799-1交给了ISO/IEC JTC1（国际标准化组织和国际电工委员会的联合技术委员会），以供各成员国对其投票表决。根据ISO的规定，JTC1的永久成员或与JTC1有A类联系的组织，都可以将来自任何地方的已有标准直接提交给ISO/IEC JTC1，不用作任何修改，作为国际草案标准（DIS）接受投票。需要注明的是，BS7799的内容早在几年前就曾经以非正式方式交给过ISO/IEC JTC1，但在投票时遭到了否决。这一次提交的版本是修改过的。