BS7799标准是英国标准协会制定的信息安全管理体系标准,它包括两个部分:《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。依据该标准可以组织建立、实施与保持信息安全管理体系,但不能实现( )。
A、强化员工的信息安全意识,规范组织信息安全行为
B、对组织内关键信息资产的安全态势进行动态监测
C、促使管理层坚持贯彻信息安全保障体系
D、通过体系认证就表明体系符合标准,证明组织有能力保障重要信息
参考答案:B
参考解析:BS7799 标准是英国标准协会 (BSI)制定的信息安全管理体系标准。它包括两部分,其第一部分《信息安全管理实施指南》于 2001 年 2 月被国 际标准化组织(1S0) 采纳为国际标准 ISOIIEC17799,并于 2005 年 6 月 15 日发布了最新版本。我国也于 2004 年完成该标准的转化工作。这一部分主要提供了信息安全管理的 一些通常做法,用于指导企业信息安全管理体系的建设。第二部分 BS7799-2 《信息安全管理体系规范和应用指南》是一个认证标准,描述了信息安全管理体系各个方面需要达到的一些要求,可以以此为标准对机构的信息安全管理体系进行考核和认证。
ISOIIEC 17799 的目的是"为信息安全管理提供建议,旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易得到互信"。 机构实施 BS7799 的目的是按照先进的信息安全管理标准建立完整的信息安全管理体系,达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式, 用最低的成本,获得较高的信息安全水平,从根本上保证业务的连续性。
BS7799 作为信息安全管理领域的一个权威标准,是全球业界一致公认的辅助信息 安全治理手段,该标准的最大意义在于可以为管理层提供一套可量体裁衣的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言,以及保护信息资产的制度框架。