本书从标准释疑、实施和案例分析三方面入手，全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799（DS7799）这一全球公认的信息安全管理标准的产生、发展历程及其主要内容；深入阐述了实施信息安全管理的方法、步骤及应用软件；并首次批露我国企业实施BS7799的经验和教训；同时，“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。

前 　言 当前我国IT产业和信息化应用已经步入了深化、整合、转型和创新的关键时期，信息技术与信息系统对企业组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化；政府机构、企业组织对信息技术和信息系统的依赖性在日益加强；信息系统的安全、管理、风险与控制日益成为突出的问题。目前业界普遍认为，我国的信息安全防护能力只处于发展的初级阶段，许多计算机基本上处于不设防状态。无论是防范意识、管理措施、核心技术，还是安全产品，都离信息安全的实际需要存在很大的差距，每年各种重要数据和文件的滥用、泄露、丢失、被盗，给国家、企业和个人造成的损失数以亿计，这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好，不仅会造成巨大的经济损失，甚至会危及国家的安全和社会的稳定。 长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响，人们对信息安全的认识存在偏差，有相当一部分人认为黑客和病毒就已经涵盖了信息安全的一切威胁，似乎信息安全工作就是完全在与黑客与病毒打交道，全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种片面的看法对一个组织实施有效的信息安全保护带来了不良影响。 信息安全的建设实际上是一个系统工程，它要求对信息系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短木块”，从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最...