【内容摘选】

【内容摘选】 当前我国IT产业和信息化应用已经步入了深化、整合、转型和创新的关键时期，信息技术与信息系统对企 业组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化；政府机构、企业组织对信息技术和信息系统的依赖性在日益加强；信息系统的安全、管 理、风险与控制日益成为突出的问题。目前业界普遍认为，我国的信息安全防护能力只处于发展的初级阶段，许多计算机基本上处于不设防状态。无论是防范意识、 管理措施、核心技术，还是安全产品，都离信息安全的实际需要存在很大的差距，每年各种重要数据和文件的滥用、泄露、丢失、被盗，给国家、企业和个人造成的 损失数以亿计，这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好，不仅会造成巨大的经济损失，甚至会危及国家的安全和社会的稳定。 长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响，人们对信息安全的认识存在偏差，有相当一部分人认为黑客和病毒就已经涵盖了信息安全 的一切威胁，似乎信息安全工作就是完全在与黑客与病毒打交道，全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组 织实施有效的信息安全保护带来了不良影响。 信息安全的建设实际上是一个系统工程，它要求对信息系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化，任何环节上的安全 缺陷都会对系统构成威胁。如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只 “木桶”出现若干“短木块”，从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理 体系，从而保证组织赖以生存的信息资产的机密性、完整性和可用性；另一方面，这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进， 不能一劳永逸，一成不变。因此实现信息安全是一个需要完整的体系来保证的持续过程。 BS7799就是这样一个可以指导组织安全实践的信息安全管理标准，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，保障组织的信 息安全“滴水不漏”，确保组织业务的持续运营，维护企业的竞争优势。遵循这个标准的信息安全管理可以给组织带来两方面效益：一是减少因信息安全事故的经济 损失而产生的经济效益；二是由于增加声誉、提升品牌价值而增加的非经济效益。BS7799第一部分己成为国际标准ISO17799，在全球范围内得到广泛 的认可，被许多国家转化为国家标准，我国的许多政府机关、企事业单位也开始认识到信息安全管理的重要，准备逐步引入BS7799，以建立适用自身需要的信 息安全管理体系。 本书就是为需要了解BS7799知识的专业人员及准备引入BS7799的组织而编写。本书着重介绍BS7799信息安全管理的理论、方法及有效的实施工 具，作者根据BS7799信息安全管理标准，并结合长期的企业信息化建设和信息安全管理实践经验，对BS7799的理论进行了详细的描述，对体系的实施方 法作了深入浅出的说明。