ISO/IEC17799与ISO/IEC15408（即CC，《IT安全评估公共准则》）的关系是怎样的？ 

简单地说，这两个标准之间没有任何紧密联系，它们没有相同或类似的主题。 

ISO/IEC15408旨在支持产品（最终是指已经在系统中安装了的产品，虽然目前指的是一般产品）中IT安全特征的技术性评估。ISO/IEC15408标准还有一个重要作用，即它可以用于描述用户对安全性的技术需求。 

ISO/IEC17799则不同，它不是一篇技术标准，而是管理标准。它处理的是对IT系统中非技术内容的检查。这些内容与人员、流程、物理安全以及一般意义上的安全管理有关。 

一般说来，经过ISO/IEC15408评估的IT安全产品有助于确保一个机构安全项目的成功，这些IT产品的使用能够极大地减少机构所面临的安全风险。如有兴趣知道一个机构如何使用ISO/IEC15408来迎接安全挑战，可以参考NIST 800-23《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》，该文献可以见于：http://csrc.nist.gov/publications/nistpubs/index.html。 

ISO/IEC17799有没有第二部分，就像BS7799一样？

BSI没有提交BS7799-2，可能的原因会在后面的问题回答中有所暗示。目前没有迹象表明BSI是否会在将来提交第二部分。ISO/IEC JTC1还没有计划去制定ISO/IEC17799-2。 

ISO有没有类似于ISO9000过程质量认证项目的ISO/IEC17799系统安全认证项目： 

ISO/IEC17799是一种操作规则，或称之为信息安全管理方针，它没有达到必要的详细级别，无法支持这种认证。正如上面说述，没有人计划去制定ISO/IEC17799-2，去为一个机构的信息安全管理项目提供足够详细的参照规范。在类似于ISO/IEC17799-2的标准被ISO/IEC JTC1接受以前，不可能有"官方"的ISO/IEC17799认证项目。当然，人们可以去选择BS7799-2，与ISO/IEC17799一起非正式使用（更确切地说，是与BS7799-1一起使用），以完成某种形式的系统安全"认证"，但这不能等同于ISO认证。要着重指出，到目前为止，已知的正式认可的认证方案是根据7799-2实施的，而不是根据ISO/IEC17799。 

围绕ISO/IEC17799被国际标准化组织的采纳过程，人们对它的"不正常现象"存在哪些争议？ 

ISO/IEC17799是在很多国家的反对声中被采纳的。ISO/IEC JTC1 SC27（联合技术委员会下的第27分委员会：IT安全技术组）内安全标准化工作的很多积极参与国对2000年夏季的DIS（国际草案标准）投票议论纷纷，由"不正常现象"引发的争议包括：对于迟到选票的接受、把明显的反对票记为赞成票、对DIS投票方案（该方案要求开会考虑投票中提交的大量技术评论）的拒绝、投票结束后ISO/IEC JTC1标准就以不正常的速度迅速发布……。成员国中，德国、法国、加拿大已经就这些不正常现象向ISO/IEC权力机关提出了抗议。加拿大最近提出了17799内容中的28处"缺陷报告"。美国也曾考虑提出类似的抗议，但最终没有行动，但他支持其他国家的抗议。 

分别是哪些成员国投了DIS 17799的赞成票和反对票？ 

英国显然要投赞成票。他的支持者有澳大利亚、新西兰、巴西以及其他14个成员国。反对国则包括比利时、加拿大、德国、法国、意大利、日本以及美国。有一个特点值得注意：7大经济强国中，除了英国，其他6个国家反对通过DIS 17799。 

美国对ISO/IEC17799的态度如何？ 

美国在2000年6月提交的DIS 17799意见中，反对其成为ISO/IEC17799。JTC1以及SC27（第27分委会）的美国技术顾问组（TAG）中的大多数成员可以说代表了美国工业界，虽然美国政府的官方立场还未表达过，但来自商业部（通过NIST）和国防部（通过DISA--国防信息系统局）的美国技术顾问组成员们支持美国代表的立场。现在，美国强烈希望对这篇文档早做大的修改，并希望能正确考虑2000年夏人们提出的那些持反对立场的技术评论。 

为什么美国反对ISO/IEC17799？ 

下面是2000年6月美国代表对17799提出的评论中的主要观点： 

1.当前，尚未看到有任何迫切需要使得必须在一个计算机安全"操作规则"这样一个难以量化的领域中制定国际标准。"操作规则"所涉及的领域最好交由方针文档来处理，比如现有的"ISO13335《IT安全管理方针》（GMITS）"系列。 

2.虽然DIS 17799作为自我评估和改良工具时是很有价值的，但它不能成为一种标准，因为它不包含技术标准所必需的测量精度。 

3.虽然DIS 17799看起来是一篇不错的文档，它描述了一种有用的安全方法，但并不能看出它比其它的"操作规则"--类似的"操作规则"很多，某些也已经是ISO的文档（其它很多则被广泛接受为安全管理文档，包括NIST发布的安全管理文档）--在技术上有何更加合理之处，或更适于提供安全管理的普遍方针。 

4. 很多其它安全管理文档中列出的大量有用的安全管理信息却没有包含在DIS 17799之中，所以如果DIS 17799能成为国际标准的话，它无疑是不全面的，这种不全面已到了使人无法接受的地步。 

5.17799试图成为国际标准的评审时间太短，不足以全面分析其不足。与此对照的是，同样也是讨论安全管理的ISO13335:《IT安全管理方针》系列（第一至第五部分），已经在国际社会中开发了很多年，其间经历了相当多的讨论和评估。 

NIST对ISO/IEC17799持什么立场？ 

NIST一直支持美国代表以前以及现在的立场，JTC1以及SC27的美国技术顾问组中的相当多数美国政府及工业界人士也支持美国代表的立场。 

除了上述的保留意见外，美国代表还觉得ISO/IEC17799太贵了。相反，NIST一直在开发大量非常有用的文档，这些文档能够有效支持一个机构的信息安全项目，但它们是免费的。 

NIST的哪些文档可以用于替代ISO/IEC17799？ 

NIST网站上有各类非常有用的安全文档，可见于：http://csrc.nist.gov/publications/nistpubs/index.html。 

美国代表认为，在NIST的SP 800系列（Special Publication 800-series）中，下列文档对一个机构的信息安全管理意义很大： 

* SP 800-12，《计算机安全手册》（Computer Security Handbook） 

* SP 800-14，《公认[安全]原则和操作》（Generally Accepted [Security] Principles & Practices） 

* SP 800-18，《安全计划开发指南》，（Guide for Developing Security Plans） 

SP 800系列中，还有些文档也会对信息安全管理有帮助： 

* SP 800-23，《联邦机构安全保障和采购指南/使用可信或经评估的产品指南》，（Guide to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products）

* SP 800-26，《IT系统自我评估指南》，（Self-Assessment Guide for IT Systems）