BS7799-2:2002的修订过程和修订内容

为了与其它管理体系标准兼容，例如ISO 9001:2000和ISO 14001:1996；引入并应用PDCA（策划、实施、检查、措施）过程模式，以建立、实施组织的信息安全管理体系，并持续改进其有效性，英国标准协会于2002年重修修订了BS 7799第二部分。

BS 7799-2的新版修订组由BSI BDD/2信息安全管理委员会和ISMS国际用户组织(IUG)以及多个国家和地区相关组织的专家代表组成，包括：Adacel (澳大利亚)，Angelika Plate, AEXIS Security，Consultants (德国)，Articsoft (英国)，Rune Ask (挪威)，British Telecom (英国)，BSI Management Systems (英国)，DNV (挪威)，DTI (英国)，EDS (英国)，Ariosto Farias Jr (Brazil)，Gamma Secure Systems Ltd (英国)，ING Bank (荷兰)，JQA (日本)，KDDI (日本)，KPMG (英国)，William List (英国)，LCH (英国)，Logica UK Ltd (英国)，LRQA Ltd (英国)，NSAI (爱尔兰)，PCCW (香港)，PNP (韩国)，PSB Certification (新加坡)，QinetiQ (英国)，S Cube (韩国)，SIS (瑞典)，Swedac (瑞典)，Validation AB (瑞典)，XiSEC Consultants Ltd (英国)。

第二部分2002年修订版中有下列几个突出的部分：

¨         新标准第4章到第7 章规定了基于PDCA过程模式的信息安全管理体系。这是对1999版第3章“过程”的扩充。

¨         1999版第4章中的控制目标和控制方式在新标准附录A中表述，附录A包含的控制目标与控制方式直接来自ISO/IEC 17799:2000。

¨         新标准附录B中提供了修订版的解释和使用指南。

¨         新标准附录C中列出了BS 7799-2:2002、ISO 9001:2000和ISO 14001:1996三个标准各个章节之间的对应关系。

¨         修订过程中，将适用性声明（SoA）的定义从主要内容中删除，在附录B中说明了适用性声明以及控制概要（Summary of Controls）的理解，主张用控制概要和风险评估的结果来满足适用性声明的要求。

¨         另外，内容中还增加了“范围”的界定，关于标准条款的删减，以及声明符合标准的前提要求。

BS 7799-2:2002引用的标准有：

¨         ISO 9001:2000质量管理体系——要求

¨         ISO/IEC 17799:2000信息技术——信息安全管理实施细则