BS7799(ISO17799:2000)

ISO17799于2000年12月出版，它适用于所有组织，建议成为强制性的安全标准。它基于BS7799标准。

（BS7799提出于1995年2月，最后修订于1999年5月。）

ISO17799是一个详细的安全标准，包括安全内容的所有准则，由10个独立的部分组成，每一部分都覆盖了不同的主题和区域。

1.商业持续性
（1）防止商业活动中断；
（2）防止关键商业过程免受重大失误或灾难的影响。

2.系统访问控制
（1）控制访问信息；
（2）阻止非法访问信息系统；
（3）确保网络服务得到保护；
（4）阻止非法访问计算机；
（5）检测非法行为；
（6）保证在使用移动计算机和远程网络设备时信息的安全。

3.系统开发和维护
（1）确保信息系统安全保护深入到操作系统中；
（2）阻止应用系统中的拥护数据的丢失，修改或重用；
（3）确保信息的保密性，可靠性和完整性；
（4）确保IT项目工程及其支持活动是在安全的方式下进行的；
（5）维护应用程序软件和数据的安全。

4.物理和环境安全
（1）阻止对业务机密和信息非法的访问，损坏和干扰；
（2）阻止资产的丢失、损坏或遭受危险，使业务活动免受干扰；
（3）阻止信息和信息处理设备免受损坏和盗窃。

5.符合性
（1）避免违背刑法、民法、条例或契约责任，以及各种安全要求；
（2）确保组织系统符合安全方针和标准；
（3）使系统审查过程的绩效最大化，并将干扰因素降到最小。

6.人员安全
（1）减少错误、偷窃、欺骗或资源误用等人为风险；
（2）确保使用者了解信息安全的威胁在他们的正常的工作中应有相应的训练，以便于信息安全政策的贯彻和实施；
（3）通过以前事件和故障汲取教训，最大限度降低安全的损失。

7.安全组织
（1）在公司内部管理信息安全；
（2）保持组织的信息采集设施和可被第三方利用的信息资产的安全性；
（3）当信息处理的自认需要借助于外力时，维持信息的安全。

8.计算机与网络管理
（1）确保信息处理设备的正确性和操作的安全性；
（2）降低系统失效的奉献到最小；
（3）保护软件和信息的完整性；
（4）维护信息处理和通讯的完整性和可用性；
（5）确保网络信息的安全措施和支持基础结构的保护；
（6）防止资产被损坏和业务活动被干扰中断；
（7）防止组织间的交易信息遭受损坏、修改或误用。

9.资产分类和控制
对于共同的资产给遇适当的保护并且确保信息资产得到适当水平的保护。

10.安全政策
为信息安全提供管理方向和支持。