Estándar BS7799 Antecedentes y aparición del estándar BS7799

Es un estándar de seguridad detallado que incluye todas las pautas de contenido de seguridad y está compuesto por diez partes independientes, cada una de las cuales cubre diferentes temas y áreas.

Los estándares del sistema de gestión de seguridad de la información BS 7799-Parte 1 (ISO 17799) y BS 7799-Parte 2 escritos por el Instituto Británico de Estándares (BSI) proporcionan un sistema completo de gestión de seguridad de la información para diversas instituciones y empresas. marco de gestión. Este conjunto de estándares 'Sister Pair' guía a las instituciones y empresas para establecer un sistema completo de gestión de seguridad de la información y realizar un análisis dinámico e integral de los riesgos de seguridad de la información de las empresas a partir del análisis de los riesgos de seguridad que enfrentan las instituciones y empresas. El propósito de la gestión de la seguridad de la información es mantener la continuidad de la organización y el negocio de la empresa para que no se vean dañados por incidentes de seguridad de la información. Debe comenzar desde los recursos existentes y la base de gestión de la institución o empresa y establecer un Sistema de Gestión de Seguridad de la Información (SGSI) de forma continua. mejora el nivel de gestión de la seguridad de la información para que la seguridad de la información de una institución o empresa alcance el nivel requerido al mínimo costo. Proteger la seguridad de la información y establecer un sistema de gestión de la seguridad de la información es una de las tareas importantes para el funcionamiento de una organización o empresa. En particular, BS 7799-2: 2002 es la base de referencia más completa en la actualidad. El modelo "Implementación e Inspección" (Verificación), Acción (Acción) introduce especificaciones del sistema de gestión en instituciones o empresas para lograr el propósito de "mejora continua".

Con el continuo desarrollo del nivel de informatización en todo el mundo y la continua popularización y profundización de la integración comercial global, los sistemas de información se han utilizado ampliamente en organizaciones empresariales y gubernamentales. La creciente dependencia de muchas organizaciones de sus sistemas de información, sumada a los riesgos, beneficios y oportunidades de operar negocios sobre sistemas de información, ha hecho que la gestión de la seguridad de la información sea una parte cada vez más crítica de la gestión empresarial; un factor decisivo en la supervivencia de una organización o en el éxito o fracaso de las pérdidas comerciales, por lo que la seguridad de la información se ha convertido gradualmente en el foco de atención de las personas. Países, instituciones, organizaciones e individuos de todo el mundo están explorando cómo garantizar la seguridad de la información. Los departamentos e instituciones de investigación pertinentes también han invertido una cantidad considerable de mano de obra, recursos materiales y fondos para tratar de resolver los problemas de seguridad de la información.

Si bien los responsables de la toma de decisiones de la organización hacen todo lo posible para garantizar la seguridad de la información de la organización, los saboteadores siempre son más poderosos que otros. Hay innumerables virus informáticos y piratas informáticos difíciles de prevenir. , y todo tipo de amenazas interminables. Las filtraciones son prueba de ello. Tomemos como ejemplo a nuestro país. En los últimos años, se han producido incidentes de seguridad de la información de diversos grados. Estos incidentes no son simples problemas de parálisis del sistema de información, sus consecuencias directas son enormes pérdidas económicas y consecuencias sociales negativas. Si las pérdidas económicas pueden compensarse, entonces la crisis de integridad pública en la sociedad en red causada por la fragilidad de las redes de información no podrá recuperarse en un corto período de tiempo.

La seguridad es algo que no se puede comprar. No existe un sistema de protección de seguridad que se pueda conectar y usar después de abrir la caja y que proporcione un nivel de seguridad suficiente. Por lo tanto, aunque algunas empresas han instalado algunos productos de seguridad, eso no significa que tengan un sistema de seguridad real. Y los datos de encuestas relevantes muestran que más del 75% de las fugas de sistemas de información y los ataques maliciosos son causados ​​por humanos, es decir, debido a la falta de gestión de la seguridad de la información. En realidad, la tecnología en sí es sólo una pequeña parte del sistema de seguridad de la información. No importa cuán avanzada sea una tecnología, no es más que un medio para ayudar a lograr la seguridad de la información. La mayoría de los expertos en gestión de seguridad de la información creen que la tecnología no deja de ser importante, pero en la arquitectura de seguridad de la información debe basarse en una buena gestión de la seguridad de la información. Por lo tanto, existe un dicho en la industria que dice que la tecnología son tres puntos y la gestión es siete puntos.

Es en este entorno mundial y en los principios reconocidos unánimemente por la comunidad académica que las instituciones de investigación de varios países han estudiado y formulado estándares para la gestión de la seguridad de la información, la evaluación de riesgos y la tecnología de seguridad de la información. Standards Institute (BSI), una organización reconocida en el mundo de los estándares, ha vuelto a tomar la delantera en el campo de la gestión de la seguridad de la información después de sentar con éxito las bases para estándares mundialmente famosos como ISO9000, ISO14000 y OHSAS18000. El estándar de gestión de seguridad de la información BS7799 formulado se ha convertido una vez más en el estándar más autorizado y representativo del mundo.

Ya en febrero de 1995, el Instituto Británico de Estándares (BSI) propuso formular estándares de gestión de seguridad de la información, que se completaron rápidamente en mayo de 1995 y los estándares se revisaron en 1999. BS7799 se divide en dos partes: BS7799-1, "Reglas de implementación de gestión de seguridad de la información"; BS7799-2 "Especificación del sistema de gestión de seguridad de la información" de las cuales BS7799-1:1999 aprobó ISO/IEC JTC1 (Organización Internacional de Normalización y Conjunción); Comité Técnico de la Comisión Electrotécnica Internacional) lo reconoció y se convirtió oficialmente en un estándar internacional, a saber, ISO/IEC17799:2000 "Reglas de implementación de gestión de seguridad de la información y tecnología de la información". Este es el estándar que más rápido pasa la votación ISO, lo que demuestra la atención y aceptación de este estándar por parte de países de todo el mundo. El 5 de septiembre de 2002, el Instituto Británico de Estándares publicó una nueva versión BS7799-2:2002 para reemplazar la BS7799-2:1999.