Antecedentes y producción del estándar BS7799
Los estándares del sistema de gestión de seguridad de la información BS 7799-Parte 1 (ISO 17799) y BS 7799-Parte 2 compilados por el Instituto Británico de Estándares (BSI) proporcionan una gestión completa para la gestión de la seguridad de la información de diversas instituciones y empresas. . marco. Este conjunto de estándares 'Sister Pair' guía a las instituciones y empresas para establecer un sistema completo de gestión de seguridad de la información. Desde la perspectiva del análisis de los riesgos de seguridad que enfrentan las instituciones y empresas, mejora de forma dinámica, integral, efectiva y continua los riesgos de seguridad de la información de las empresas. , enfatizando la gestión de la seguridad de la información. El propósito es mantener la continuidad institucional y corporativa para que no se vea interrumpida por incidentes de seguridad de la información. Es necesario establecer un sistema de gestión de seguridad de la información (SGSI) basado en los recursos y la gestión existentes de la institución o empresa, y mejorar continuamente el nivel de gestión de la seguridad de la información, de modo que la seguridad de la información de la institución o empresa alcance el nivel requerido. al mínimo coste. Proteger la seguridad de la información y establecer un sistema de gestión de seguridad de la información es una de las tareas importantes en el funcionamiento de una organización o empresa, especialmente BS 7799-2: 2002, que es actualmente la referencia más completa. Introduce especificaciones del sistema de gestión en instituciones o empresas en forma de "planificación, implementación, inspección y acción" para lograr el propósito de "mejora continua".
Con el desarrollo continuo del nivel de informatización del mundo y la profundización de la integración comercial global, los sistemas de información se han utilizado ampliamente en agencias comerciales y gubernamentales. Muchas organizaciones son cada vez más dependientes de sus sistemas de información, sumado a los riesgos, beneficios y oportunidades de realizar negocios sobre sistemas de información, haciendo que la gestión de la seguridad de la información sea una parte cada vez más importante de la gestión empresarial, se ha convertido en muchas ocasiones en un factor de supervivencia o de supervivencia organizacional; El déficit comercial es un factor decisivo para el éxito o el fracaso, por lo que la seguridad de la información se ha convertido gradualmente en el centro de atención. Países, instituciones, organizaciones e individuos de todo el mundo están explorando cómo garantizar la seguridad de la información, y los departamentos e instituciones de investigación pertinentes también han invertido una cantidad considerable de mano de obra, recursos materiales y fondos para tratar de resolver los problemas de seguridad de la información.
Mientras el nivel de toma de decisiones de la organización se esfuerza por garantizar la seguridad de la información de la organización, los saboteadores siempre tienen la ventaja y, cuanto más arriba, el diablo, innumerables virus informáticos, piratas informáticos impredecibles y todo tipo de amenazas. Las amenazas surgen sin cesar. Las filtraciones son prueba de ello. Tomando a China como ejemplo, en los últimos años se han producido una serie de incidentes de seguridad de la información de diversos grados. Estos incidentes no son simples problemas de parálisis del sistema de información, sino que también pueden provocar enormes pérdidas económicas y malos impactos sociales. Si las pérdidas económicas pueden compensarse, la crisis de confianza pública en la sociedad en red provocada por la fragilidad de las redes de información no podrá recuperarse en poco tiempo.
La seguridad no se puede comprar. No existe un sistema de seguridad que se conecte y funcione de inmediato y proporcione un nivel de seguridad adecuado. Por tanto, aunque algunas empresas hayan instalado algunos productos de seguridad, eso no significa que tengan un sistema de seguridad real. Además, los datos de encuestas relevantes muestran que más del 75% de las fugas de sistemas de información y los ataques maliciosos son causados por humanos, es decir, debido a la falta de gestión de la seguridad de la información. En realidad, la tecnología en sí es sólo una pequeña parte del sistema de seguridad de la información. No importa cuán avanzada sea la tecnología, es sólo un medio para ayudar a lograr la seguridad de la información. La mayoría de los expertos en gestión de seguridad de la información creen que la tecnología no deja de ser importante, pero en el marco de la seguridad de la información, debe basarse en una buena gestión de la seguridad de la información, por lo que en la industria se le llama tecnología de tres puntos y gestión de siete puntos.
Es bajo los principios reconocidos unánimemente por el medio ambiente y la academia mundial que instituciones de investigación de varios países han investigado y formulado estándares para la gestión de seguridad de la información, evaluación de riesgos y tecnología de seguridad de la información, y British Standards, una prestigiosa organización. en la comunidad mundial de estándares Después de sentar con éxito una base sólida para estándares mundialmente famosos como ISO9000, ISO14000 y OHSAS18000, BSI ha vuelto a tomar la delantera en el campo de la gestión de seguridad de la información, y su estándar de gestión de seguridad de la información BS7799 ha vuelto a convertirse en el estándar más autorizado
Ya en febrero de 1995, el Instituto Británico de Estándares (BSI) propuso formular estándares de gestión de seguridad de la información, que se completaron rápidamente en mayo de 1995 y se revisaron nuevamente en junio de 1999. BS7799 se divide en dos partes: BS7799-1, detalles de implementación de la gestión de seguridad de la información; BS7799-2, especificación del sistema de gestión de seguridad de la información; entre ellos, BS7799-1:1999 obtuvo ISO/IECJTC1 (Organización Internacional Conjunta de Normalización y Comisión Electrotécnica Internacional) en Comité Técnico de febrero de 2000), se ha convertido oficialmente en un estándar internacional, a saber, ISO/IEC17799:2000 "Tecnología de la información". Este es el estándar más rápido en aprobar la votación ISO, lo que demuestra la atención y aceptación de este estándar por parte de países de todo el mundo. El 5 de septiembre de 2002, la British Standards Institution publicó una nueva versión, BS7799-2:2002, en lugar de BS7799-2:1999.