据一份针对英国900家不同类型组织做的问卷调查，超过一半的政府机构及三份之二的民营组织，正面临信息科技的不法入侵、滥用甚至破坏。在美国的另一份报告更明白指出信息安全事件造成的财务损失已高达二亿四千万美元。 一个轻微的信息安全疏失，就可能伤害组织的可信度，导致客户信心的动摇，最后造成组织利润流失。而对大部分组织而言，信息安全的问题通常还没有一个明确的解决答案。 

    1990年，世界经济合作开发组织（OECD）下属的信息、电脑与通讯组织草拟了《信息安全方针》。在这一方针的指导下，1995年英国标准协会颁布了指南性标准BS7799-1:1995《信息安全管理实施细则》。1999年，BS7799-1:1995修订后再次由英国标准协会颁布，BS7799-2信息安全管理体系规范也在同年颁布。 2000年12月1日，BS7799第一部分成为ISO17799国际标准，该标准被信息界喻为“滴水不漏的信息安全管理标准”。

    BS7799信息安全管理体系标准由两部分内容组成，包括：
　　  BS7799–1 信息安全管理体系实施指南
　　  BS7799–2 信息安全管理体系认证标准

    BS7799-1 标准目前已正式转换成ISO国际标准，即：ISO17799信息安全管理体系实施指南，并于2000年12月1日颁布。该标准综合了信息安全管理方面优秀的控制措施，为组织在信息安全方面提供建议性指南，因此该标准不是认证标准，但组织在建立和实施信息安全管理体系时，可考虑采取该标准建议性的措施。

    BS7799-2标准目前正在转换成ISO国际标准的过程中，由于该标准是在英国法律法规框架下制订的，要将标准转换成国际标准，必须考虑适合世界各国信息安全管理方面的法律和法规要求以及国际标准编写的要求。BS7799-2标准要求主要用于对组织进行信息安全管理体系的认证，因此组织在建立信息安全管理体系时，必要考虑满足BS7799-2的要求。


信息安全管理的基本知识

    正如其它商业资产一样，信息也是一种资产，对组织来说，它是具备价值的，是组织商业运作得以持续进行的生命源泉，因此，必须加以适当的保护以避免可能的威胁，从而确保组织商业活动的连续性，将损害降至最低，将投资回报和商业机会增至最大。我们的日常工作中每时每刻都在接触各种类型的信息，比如印刷在纸张上的商业合同，以电子方式储存的技术资料，通过邮政或使用电子手段传送新产品样品，用胶片形式表达的培训教材，商业谈判过程中口中表达的谈判内容。不管信息以何种形式出现，亦或以何种方法共享或储存，对任何组织来说，都应该随时加以保护。

    据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达100多亿美元，还有日益增加的趋势，那么，信息安全问题主要是由哪方面的原因引起呢？据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达70%以上，也就是说，真正的信息安全是需要系统的管理来保证的。

    通常信息安全应具备以下几个方面的特征：
    a） 保密性 - 确保信息仅允许授权人员访问。
    b） 完整性 - 信息及其处理方法的准确和全面。
    c） 可用性 - 确保在需要时，授权用户能访问到信息、接触到相关资产。

    对任何一个组织而言，商业活动产生大量的信息，但针对信息安全而言，应主要考虑以下几种信息类型的安全：
    a） 内部信息 – 组织不对外公开的信息。
    b） 客户信息 – 客户不想让组织泄露的信息。
    c） 共享信息 – 组织需要与其他贸易合作伙伴分享的信息。

    信息安全管理体系的目的就是通过对组织信息资产的风险管理来保证信息的保密性、完整性和可用性。