信息安全管理01

文章出自：http://blog.csdn.net/xsr/article/details/16386?utm_source=jiancool

信息安全管理体系的三要素是：人、制度和技术；其中技术是基础，只有在技术有效时,制度和人才是关键，信息安全管理体系从用户的角度看更强调七分管理、三分技术，在实际运行中三要素就象一个三角支架，三条腿一样长，系统才能保持平衡。

发达国家经过多年的研究，已形成完善的信息安全管理方法，并用可以普遍采用的标准形式表达出来，即： British Standard 7799信息安全管理体系（ISO/IEC 17799）指出的安全管理的内容：信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等等。

从信息安全管理三要素看：计算机网络与信息安全=信息安全技术+信息安全管理体系（技术+人+制度）。在技术层面和管理层面的良好配合，是组织实现网络与信息安全系统的有效途径。其中，信息安全技术通过采用包括建设安全的主机系统和安全的网络系统，并配备适当的安全产品的方法来实现:在管理层面，则通过构架信息安全管理体系（落实制度和人员培训）来实现。

British Standard 7799的信息管理过程是：

·确定信息安全管理方针和信息安全管理体系的范围

·进行风险分析

·根据风险分析,建立信息安全管理体系(制度和技术体系)

·建立业务持续计划并实施安全管理体系

一、确定信息安全管理体系的范围：

       即在组织内选定在多大范围内构架信息安全管理体系。企业现有的组织结构是定义信息安全管理体系范围需要考虑的最重要的方面。

二、进行风险分析:

信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。  

（一）资产评估

使企业制定信息安全策略的前提条件，只有确定企业需要重点保护的资源，才能够制定出相应的切合实际的策略。公司首先要确定对公司目前成功和长期生存至关重要的数据、系统和网络，因为这些元素对企业而言兼具货币价值和内在价值。货币价值指起重要作用的关键、敏感数据设计资料、应用系统和网络，以及如果这些元素无法提供适当的功能，公司将遭受多大的损失。内在价值指各机构必须认真考虑安全问题可能带来的对信誉、声誉和与投资者关系的损害。

在评估过程，企业要采用能够充分利用结合优秀的传统方法及连网计算的新业务模式，才能获得竞争优势。而且对许多企业来讲，问题不在于数据安全是否必要，而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各机构必须独立确定所需的安全程度，以及哪种安全能最有效地满足其特殊业务需求。所以，有效的评估方法就是要根据不同企业特殊条件有针对性的进行操作。

（二）风险评估

基本风险评估

仅参照标准所列举的风险对组织资产进行风险评估的方法。标准罗列了一些常见信息资产所面对的风险及其管制要点，这些要点对一些中小企业（如业务性质较简单、对信息、信息处理和计算机网络依赖不强或者并不从事外向型经营的企业）来说已经足够；但是，对于不同的组织，基本风险评估可能会存在一些问题。一方面，如果组织安全等级设置太高，对一些风险的管制措施的选择将会太昂贵，并可能使日常操作受到过分的限制；但如果定得太低，则可能对一些风险的管制力度不够。另一方面，可能会使与信息安全管理有关的调整比较困难，因为，在信息安全管理系统被更新、调整时，可能很难去评估原先的管制措施是否仍然满足现行的安全需求。

威胁识别

要想制定成功的策略一定要知己知彼，不但要了解企业的自身状况，还要了解威胁到企业安全的各种内忧外患。可能由于人 员的原因（疏忽、跳槽、破坏）、竞争对手原因（商业间谍、收买、盗窃、网络攻击）和自然灾害（火灾、水灾、地震）等 原因，在一瞬间被毁灭、消失、损坏、盗窃、贬值、转移，给企业带来致命的打击。

根据风险管理决策，企业可以采取三种基本态度：接受—如果暴露小，保护成本高，可以选择接受风险；分散——如果将风险分散给其它人的成本低于直接保护，可以采取分散做法，购买火灾保险而不是修建消防大楼就属于分散风险；避免——如果需要，公司可以采取必要的措施防止安全问题发生，或者使安全事件减少或减少引起的损害。以正确的态度及时采取措施是决定企业命运的关键，所以采取何重态度直接决定着企业风险评估的准确与否。

组织在进行信息资产风险评估时，不可有侥幸心理，必须将直接后果和潜在后果一并考虑。对信息安全管理体系范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全管制措施进行鉴定，这就是一个风险评估的过程。

三、建立信息安全管理体系(制度和技术体系)

管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱衡量（如商誉的损失等）。由于信息安全是一个动态的系统工程，组织应时时对选择的管制目标和管制措施加以校验和调整，以适应变化了的情况，使组织的信息资产得到有效、经济、合理的保护。

准备信息安全适用性申明：信息安全适用性申明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备，一方面是为了向组织内的员工申明对信息安全面对的风险的态度，在更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统地审视了组织的信息安全系统，并将所有有必要管制的风险控制在能够被接受的范围内。

信息安全牵涉到方方面面的问题，是一个极其复杂的系统工程。要实施一个完整信息安全管理体系，至少应包括三类措施。一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境；二是信息安全的技术的措施，如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等；三是审计和管理措施，该方面措施同时包含了技术与社会措施有：实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等，主要目的是使信息安全管理体系持续运行。企业要实施一个安全的系统应该三管齐下。其中法律、企业领导层的重视应处于最重要的位置。

建立并实施安全管理体系

安防制度是安全防护体系的基础。安防制度是这样一份或一套文档：它从整体上规划出在企业内部实施的各项安防控制措施。规章制度不是技术指标，它在企业里起的作用主要有三点：

·明确员工的法律责任；

·对保密信息和无形资产加以保护，使之免于盗窃、误用、非授权公开或修改；

·防止浪费企业的计算机资源。

写在纸面上的规章制度不过是把公司纲领传达给各个员工的手段。规章制度一定要正式发布，正式发布的规章制度才能做为法律证据。

规章制度的生命周期（即制度的制定一推行一监督实施）是我们在制定、推行、和监督实施规章制度时所必须遵循的过程。规章制度的编制工作是以风险评估工作的结论为基础制定出消除、减轻和转移风险所需要的安防控制措施。要用简明易懂的文字来书写它们，不要弄得过于复杂。规章制度的推行，规章制度的推行阶段说的是企业发布执行规章制度的工作。必须保证对不遵守制度的行为的惩罚与该行为本身相匹配，对每次违反规章制度的行为都要进行惩罚。如果规章制度的推行工作不严格，安防体系将难以实施。监督实施工作需要常抓不懈。这项工作需要长期反复的进行，必须要确保它们能够踉上企业的发展和变化。

规章制度的制定，从全局的角度看，规章制度的制定工作包括以几个方面：明确关键性的商务资源和政策制度、界定企业中的各个岗位、确定企业各岗位人员的权力和义务。也可以以British Standard 7799信息安全管理体系（ISO/IEC 17799）蓝本，这套标准把安防制度分为十大部分，内容覆盖信息系统决策和制度制定工作所涉及的一切问题。10个部分及其作用是：

四、British Standard 7799信息安全管理体系（ISO/IEC 17799）蓝本

1 商务活动减灾恢复计划

·从大多数失误和灾难造成的后果开始恢复企业运转及其关键性业务流程的行动计划。

2系统访问权限控制

·对信息的访问加以控制；

·防止出现针对信息系统的非受权访问；

·保护网络上的服务切实有效；

·防止出现计算机硬件设备的非授权访问；

·检测有无非授权访问；

·报正人员旅行时或电信线路上的信息安全。

3系统开发和维护

·确保可以让人们操控的系统上都已建好安全防护措施。

·防止应用系统里出现用户数据的丢失、修改和滥用现象。

·保护信息的保密性。与用户身份的对应性和完整性。

·确保IT项目及其支持性活动以一种受保护的方式来开发进行。

·维护应用系统中的软件和数据的安全性。

4物理和环境的安防考虑

·防止出现针对企业根基和信息方面的非授权访问、损坏和干扰。

·防止企业资产出现丢失、损坏、不正当使用，防止业务活动出现中断；

·防止信息和信息处理设备的不正当使用和盗窃．

5遵守法律和规定

·避免违反一切刑事和民事法律；避免违反法令性、政策性、及合同性义务；避免违反安防制度要求；

·证企业的安防制度符合国际、国内的相关标准。

·最大限度地发挥企业监督机制的效能，减少它带来的不便。

6人为因素的安防考虑

·减少信息处理设备在人为失误、盗窃、伪造、滥用等方面的风险；

·确保用户明白信息安全方面的威胁和关注重点，在其日常工作过程中懂得使用必要的设备来支持公司的安防制度；

·把安防事故和意外的损失减少到最小，并从这类事件中吸取教训。

7企业组织的安防考虑

·加强企业内部的信息安防管理；

·对允许第三方访问的企业信息处理设备和信息资产进行安全防护；

·对外包给其他公司信息处理业务所涉及到的信息进行安全防护。

8计算机和网络管理

·确保对信息处理设备的操作是正确和安全的；

·减少系统故障方面的风险；

·保护软件和信息的完整性；

·注意维护在处理和通信过程中的完整性和可用性；

·确保网上信息的安防监控以及相关支持体系的安全防护；

·防止出现损坏企业资产和中断公司业务活动的的行为；

·防止企业之间的交流信息被丢失、修改或滥用。

9资产分类和控制

对公司资产加以适当的保护措施，确保无形资产都能得到足够级别的保护。

10安防制度

提供信息安防方面的管理方针和支持服务。

严格的信息安防制度必须包括以下几项重点内容：

·必须有明晰信息所有权的条款。

·必须规定员工／用户在保护信息资产方面的责任。

·必须制定出对不遵守制度现象的惩罚措施。

为避免出现漏洞而给出了以下几条建设：

在制定信息安防制度时要注意考虑企业文化，许多安防方面的规章制度都是参考制度模板或者以其他企业的规章制度为样板而制定出来的。与企业文化和公司业务活动不相适应的信息安防制度往往会导致发生大范围的不遵守现象。

规章制度必须有现实意义，必须由管理层明确签发一在正式发布规章制度之前，应该先调查清楚用户对这套制度的接受程度如何，还应该把网络系统和业务流程改造多方面的开支计划安排好。不要低估规章制度宣传工作的作用要想让员工自觉地遵守规章制度，就必须先把制定规章制度的道理向他们讲清楚．举办学习会，在会上宣布开始执行这套规章制度，并把企业领导签发的通知书下发给每一位员工。发布规章制度的时候，必须写明其监督实施办法，制定出正式执行这套规章制度的时间表要把例外情况的审批手续和不遵守规章制度现象的汇报手续解释清楚，这是非常重要的。应该给员工发一些提醒他们遵守制度的小物品，甚至可以准备一些自查表好让员工和部门经理能够对制度的遵守情况进行自查。规章制度必须包括适当的监督机制，必须有对不遵守现象的纪律处罚手段，为了保证能够发现和纠正对规章制度的错误理解、保证能够发现和纠正不遵守规章制度的现象，安防制度里必须有相应的监督实施办法，企业应该尽可能采用一些自动化的工具对规章制度的执行情况做定期的检查。如果采用人工方法进行检查，就必须有一个定期的常规检查计划一对恶性事故的原因和责任必须做正式的追查；违反规定的行为要视情节轻重进行处罚；纪律面前，人人平等，事故处理办法里应该说明怎样来调查和收集证据，在什么情况下需要提请司法机关介入最后，应该定期对遵守、例外、和违反规章制度的情况进行总结并与企业领导进行交流，让他们了解制度的执行情况，支持你的工作要想制定出一套成功的信息安防制度，其关键在于下问几个问题的答案：员工理解正确使用情况和不正确使用情况之间的区别吗；对明显违反制度的行为，员工会报告吗；对明显违反制度的行为，员工知道应该怎样报告吗。

 

以下内容是安防制度里的几个重要组成部分：

计算机上机管理制度

计算机上机管理制度讨论和定义了公司计算机资源的正确使用办法。应该要求用户在开设账户时阅读和签署这份协议。用户有责任保护保存在其里的信息资料、这一点必须在协议里写清楚。用户的个人电子邮件的使用级别也要在协议里写清楚。这项制度要回答以下几个问题：

·用户能否查阅和复制自己有访问权仍不属于他们的文件；

·用户能否修改自己有写权限但不属于他们的文件；

·用户能否复制系统配置文件（如etc/passwd和SAM）供个人使用或复制给其他人；

·用户能否使用.rhosts文件。可以设置使用哪几个数据项;

·用户能否共享帐户；

·用户能否复制版权机软件。

 

用户账户管理制度

用户账户管理制度给出的是申请和保有系统账户的要求。大公司里的计算机用户经常会在好几个系统上有账户，所以这个制度对它们来说非常重要。批阅读和签署这份协议做为申请开设账户的一项手续是个比较好的办法。用户账户管理制度需要问答以下几个问题：

·谁有权批准开设帐户的申请；

·谁（员工、配偶、儿童、公司访客等）被允许使用公司的计算机资源；

·用户能否在一个系统上开设多个账户；

·用户能否共享账户；

·用户都有哪些权利和义务；

·账户都会在什么时候被禁用和归档；

 

远程访问管理制度

远程访问管理制度规定了公司内部网络的远程连接办法。这个制度对今天的企业有很重要的意义，因为用户和网络可能分布在广大的地域上。这个制度应该把允许使用的远程访问内部资源的手段都包括进来，比如拨号（SLIP、PPP）、ISDN／帧中继、经过因特网的Telnet访问、有线电视调制解调器／DSL，等等。这项制度需要回答以下几个问题：

·哪些人有权使用远程访问服务？

·公司支持哪几种连接方法（比如只支持宽带调制解调器／DSL或拨号）；

·内部网络上是否允许使用向外拨号的调制解调器；

·远程系统上有没有额外的使用要求—比如强制性的杀毒软件和安防软件；

·员工家庭里的其他成员能否使用公司的网络；

·对被远程访问的数据是否有限制。

 

信息保护管理制度

化息保护管理制度规定了用户在处理、保存和传输敏感数据时的正确做法．这个制度的主要目的是要确保受保护信息不会被在非授权的情况下被修改和公开。公司的现有员工都必须签署这份协议，新员工在岗位培训时必须学习这项制度、信息保护管理制度需要问答以下几个问题：

·信息的敏感级别是如何设定的；

·哪些人可以访问到敏感的信息；

·敏感信息是如何保存和传输的；

·哪个级别敏感信息允许在公共打印机上打印出来；

·如何从存储介质上删除敏感信息（碎纸机、硬盘整理、软盘消磁等）。

防火墙管理制度

防火墙管理制度规定了防火墙硬件和防火墙软件的管理办法，规定了改变防火墙配置、的时的审批手续这项制度需要问答以下几个问题：

·哪些人有防火墙系统的访问权；

·如果需要改变防火墙的配署情况，需要向谁提出申请；

·如果需要改变防火墙的配置情况，申请将由谁来批准；

·哪此人可以看到防火墙的配置规则和它的访问清单；

·防火墙配置情况的检查周期是多长时间。

 

特殊访问权限管理制度

特殊访问权限管理制度规定了系统特殊账户（根用户账户、系统管理员账户等）的申请和使用办法。这项制度需要回答以下几个问题：

·特殊访问权限需要向谁提出申请；

·特殊访问权限需要由谁来批准；

·特殊访问权限的口令字规则是什么；

·多长时间改变一次口令；

·什么理由或情况会导致用户的特殊访问权限被取消。

 

网络连接设备管理制度

网络连接设备管理制度规定了给网络增加新设备的要求，它需要回答以下几个问题：

·哪些人有权在网络上安装设备；

·安装新设备需要由谁来批准；

·安装新设备时应该通知哪些人；

·网络设备的增减情况由谁来记录；

·对网络上新增加的设备有没有安防要求。

 

商业伙伴管理制度

商业伙伴管理制度规定了企业的商业伙计公司都应该具备什么样的安防条件。随着电子商务的发展，公司内部网络对商业伙伴、顾客、供应商的开放程度越来越大，商业伙伴管理制度也就越来越重要。这方面的规定在每一份商业伙伴协议里都会有很大的变化，但它至少需要回答以下几个重要的问题：

·是否要求每一个商业伙伴公司都必须有一份书面的安防制度；

·是否要求每一个商件伙伴公司都必须有个防火墙或其他网络边界安防设备；

·通信交流是如何进行的（因特网上的VPN虚拟专用网、租用专线、等等）；

·如果想访问商业伙伴的信息资源，应该如何提出申清。

其他重要规定

你可能还需要制定其他几项规章制度，比如说：

·无线网络管理制度—帮助加强无线网络的安全防护措施，内容包括哪些设备可以无线接入、需要采取哪此安防措施，等等；

·实验室管理制度—如果企业里有一个测试实验室，就要用这项制度来保护内部网络免受其影响而降低安全性。最好是让测试实验室另外使用一条完全独立的同特网连接，使它与公司内部的业务网络没有什么连接通路。

·个人数字助理（PDA）管理制度—这项制度明确了是否允许PDA设备连接到公司的内部网络、怎样建立连接、是否允许把PDA软件安装在公司的系统上等问题。这些设备会给你的技术支持部门带来许多支持和混用方面的问题。

顾客管理制度

有此公司还向顾客、潜在顾客、和商业伙伴们提供其安全防护体系的概括性讨论报告。这有助于展示企业对安防环境的重视和经验。

 

信息安全管理系统基本技术框架

面向数据的安全概念是数据的保密性、完整性和可获性， 而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。综合考虑就是信息安全管理体系结构中的安全服务功能，而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心， 安全标准和系统评估是信息安全的基础。

　　信息安全管理系统的安全保障体系可以分为三个层次：一是基本安全环节，这些安全环节是很多系统平台本身就提供的，如操作系统或者数据库；其次是对基本安全要素的增强环节，利用这些增强环节能够对系统起到更可靠的保护作用；再其次是扩充的安全机制，它们提供更强的安全监测和防御能力。

 

基本安全环节

用户身份标识和鉴别

计算机信息系统的可信操作在初始执行时，首先要求用户标识自己的身份，并提供证明自己身份的依据，计算机系统对其进行鉴别。

身份鉴别可以是只对主体进行鉴别，某些情况下，则同时需要对客体进行鉴别。目前在计算机系统中使用的身份鉴别的技术涉及3种因素：你知道什么（秘密的口令）、你拥有什么（令牌或密钥）、你是谁（生理特征）。

仅以口令作为验证依据是目前大多数商用系统所普遍采用的方法。这种简单的方法会给计算机系统带来明显的风险，包括利用字典的口令破解；冒充合法计算机的登录程序欺骗登录者泄露口令等。

任何一个单纯的口令系统都无法保证不会被入侵。一些系统使用口令与令牌相结合的方式，这种方式在检查用户口令的同时，验证用户是否持有正确的令牌。令牌是由计算机用户执行或持有的软件或硬件。令牌连续地改变口令，通过与验证方同步获得验证。

基于生理特征的验证是一项始终处于研究阶段的技术，验证的依据种类繁多，常见的如指纹、视网膜或虹膜、手掌几何学等。这类系统通常十分昂贵，并且出错率和性能还没有被广泛认可。

访问控制

访问控制分为“自主访问控制”和“强制访问控制”两种。

自主访问控制（DAC）是商用系统中最常见的一种类型，Unix和NT操作系统都使用DAC。在基于DAC的系统中，主体的拥有者负责设置访问权限。自主访问控制的一个最大问题是主体权限太大，无意间就可能泄露信息，而且不能防备特洛伊木马的攻击。

强制访问控制（DMC）就是系统给每个客体和主体分配了不同的安全属性，而且这些安全属性不象由客体拥有者制定的ACL（访问控制列表）那样轻易被修改。系统通过比较主体和客体的安全属性决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限，具有更高的安全性。

审计

审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识，访问权限请求、日期和时间、参考请求结果（成功或失败）。审计记录应以一种确保可信的方式存储。大多数操作系统都提供至少能记录被用户访问的每个文件的审计子系统。

上面这些安全要素是一个安全系统最基本的和不可缺少的安全机制，这些要素的缺乏意味着系统几乎没有可信赖的安全机制。

 

对基本安全环节的增强机制

可以采取一些可行的技术手段以强化基本安全机制的作用，这些手段包括：

·在普通操作系统中通过强化内核，增加强制访问控制能力，分解ROOT权限。

·在网络上设置防火墙，由于防火墙可以在操作系统的外部增加一层防护，因而在商用操作系统安全性较弱的情况下，可以有效增加系统的安全性。

·独立的网络和主机审计系统。

·利用密码技术建立的身份鉴别体系: 基于公钥算法和 PKI的认证系统。

 

扩充的安全机制

这些安全机制采用了更有针对性的技术来提高系统安全的可控性，它们是建立高度安全的信息系统必不可少的。

1．安全审核

其基本原理是在系统外部对受保护的系统自动地模拟各种访问动作，通过系统对这些动作的响应评估系统的安全状况。安全审核通过改善系统中的基本安全环节达到增强安全性的目的，典型的产品如网络扫描器。

2.实时监控

实时监控系统依据系统积累的关于异常和入侵的知识（一组行为模式），实时监控系统中的事件，并可以在发生危害系统的事件发生时，产生预先定义的动作，终止危害事件的进行或报告异常事件。实时监控由于积累了大量关于入侵系统的知识，并对典型行为敏感，因而又被称为“入侵检测”。它强化了系统中的访问控制（产生动作）和审计机制（记录危险事件）。

3.防病毒

防病毒系统利用病毒的已知特征发现病毒，并将其从系统中清除。

4.信息加密

包括可信系统内部的加密存储以及跨越不可信系统在可信系统间传输受控信息的机制。通常使用信息加密技术以及建立在加密和通道技术上的VPN系统。

5.安全系统的最后绝唱灾难恢复

数据的灾难恢复是保证系统安全可靠不可或缺的基础。如果定期对重要数据进行备份，那么在系统出现故障时，仍然能保证重要数据准确无误。

以上介绍的这些技术环节，有些是基本的，有些则并不一定都要部署，企业应该根据自身的信息系统的构成、信息系统本身的价值、威胁的主要来源等因素来决定取舍。

 

4．建立业务持续计划并实施安全管理体系

信息安全管理系统的框架的建设只是第一步。在具体实施信息安全管理系统的过程中，必须充分考虑各种因素，例如，实施的各项费用（例如培训费、报告费等）、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。

在信息安全管理系统建设、实施的过程中，必须建立起各种相关的文档、文件，例如，信息安全管理系统管理范围中所规定的文档内容、对管理框架的总结（包括信息安全政策、管制目标和在适用性申明中所提出的控制措施）、在信息安全管理系统管理范围中规定的管制采取过程、信息安全管理系统管理和具体操作的过程（包括IT服务部门、系统管理员、网络管理员、现场管理员、IT用户以及其他人员的职责描述和相关的活动事项）等等。文档可以以各种形式保存，但是必须划分不同的等级或类型。同时，为了今后的信息安全认证工作的顺利进行，文档必须能很容易地被指定的第三方（例如认证审核员）访问和理解。

组织必须对各种文档进行严格的管理，结合业务和规模的变化，对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全政策需要时，就必须将其废弃。但值得注意的是，某些文档虽然对组织来说可能已经过时，但由于法律或知识产权方面的原因，组织可以将相应文档确认后保留。

必须对在实施信息安全管理系统的过程中发生的各种与信息安全有关的事件进行全面的纪录。安全事件的纪录为组织进行信息安全政策定义、安全管制措施的选择等的修正提供了现实的依据。安全事件记录必须清晰，明确记录每个相关人员当时的活动。安全事件纪录必须适当保存（可以以书面或电子的形式保存）并进行维护，使得当纪录被破坏、损坏或丢失时容易挽救。

BS 7799信息安全管理体系标准毕竟仅仅提供一些原则性的建议，如何将这些原则性的建议与各个组织单位自身的实际情况相结合，构架起符合组织自身状况的信息安全管理系统，才是真正具有挑战性的工作。在构架安全的信息系统时，应牢记如下的指导思想：“信息安全技术、信息安全产品是信息安全管理的基础，信息安全管理是信息安全的关键，人员管理是信息安全管理的核心，信息安全政策是进行信息安全管理的指导原则，信息安全管理体系是实现信息安全管理最为有效的手段。”