风险评估有关技术标准

1.BS7799、ISO/IEC 17799、ISO/IEC 2700系列

BS7799是英国信息安全管理的标准，它包括两部分：第一部分《信息安全管理实施细则》是信息安全管理的最佳实践的集合，其目的是为各类信息系统安全管理提供通用的参考基准；第二部分《信息安全管理体系、规范及应用指引》规定了建立、实施、文件化信息安全管理体系（ISMS）要求，规定了根据组织需要定制安全控制的要求，目的用于审核和认证。

英国贸工部（DTI）的商业计算机安全中心（CCSC）于1989年发表了《用户实施规范》。这个规范后来被国家计算机中心（NCC）和英国工业界用户继续发展，已使得这个规范从用户的观点看既有指导意义，又具有可操作性。最后的结果文件作为英国标准指导文件PD0003《信息安全管理实施规范》发表，经广泛征求意见和修订后正式作为英国国家标准于1995年发布，这就是BS7799-1995。作为第二部分的BS7799-2：1998于1998年2月被加入。随着从1997年11月开始的进一步修改，这个标准的第一次修订版BS7799-1999正式在1999年4月发布，标准的第一部分于1999年经“快速通道”机制作为ISO 标准提议，经少量修改后作为ISO/IEC 17799：2000于2000年12月1日正式发布。BS 7799-2:2002正式发布于2002年9月5日。BS 7799-2已更新并在2005年10月15日正式发布为ISO/IEC27001:2005。新版的国际标准仅对原英国标准BS 7799-2:2002的要求加以阐明并加强，更新的主要区域是：风险评估、契约责任、范围、管理决策和测量所选控制项的有效性。