Der British Standard BS 7799 von 1995 führt die offizielle Bezeichnung " Code of Practice for Information Security Management" und bildet die Prüfungsgrundlage für die Sicherheit von IT-Systemen.
Der britische Standard bildet eine international anerkannte Norm für die Bewertung der Sicherheit von IT-Umgebungen. Aus diesem Standard ist der internationale Standard ISO 17799 hervorgegangen, der als Referenzdokument für die Erstellung eines Informationssicherheits-Managementsystems ( ISMS) dient. Das Ziel dieser Norm ist die Einführung eines Prozessansatzes, mit dem ein organisationsbezogenes Informationssicherheits-Managementsystem (ISMS) entwickelt, umgesetzt, überwacht und verbessert werden kann.
Bei den Zertifizierungen nach BS 7799 steht das gesamte IT- System auf dem Prüfstand und wird auf vorhandenes Risikopotenzial hin untersucht; und nicht einzelne Anwendungen, Subsysteme oder Dateien. Der Schutz sensibler Daten und wichtiger Geschäftsprozesse stehen im Vordergrund.
Wichtige Aspekte des Standards sind die Definition, Spezifikation und Implementierung eines Informationssicherheits-Managementsystems, die Entwicklung organisationsbezogener Normen und Praktiken hinsichtlich der Informationssicherheit sowie die Überwachung der Einhaltung von Vereinbarungen an die Informationssicherheit. Der Standard besteht aus zehn Kapiteln, die die Grundlagen für den praktischen Einsatz bilden:
- Security Policy,
- Security Organization,
- Asset Classification and Control,
- Personal Security,
- Physical and Environmental Security,
- Computer and Network Management,
- System Access Control,
- System Development and Maintenance,
- Business Continuity and Disaster Recovery Planning,
- Compliance.
ISO 17799, das das Management von Informationssicherheit beschreibt, schafft die Voraussetzungen für die Zertifizierung eines ISMS-Systems. Der Standard BS 7799 besteht aus zwei Teilen:
Teil 1: Leitfaden zum Management von Informationssicherheit,
Teil 2 von 1999: Spezifikation für Managementsysteme der Informationssicherheit.
Im Jahre 2002 wurde der zweite Teil an internationale Management-Standards und die OECD-Richtlinien angepasst. Damit können Unternehmen einen Sicherheitsprozess etablieren, der den Sicherheitswert systematisch auf einem zu definierenden Niveau verbessert.
Das von der ISO im Herbst 2005 herausgegebene Regelwerk ISO 2700x beinhaltet in der ISO 27001 die Aspekte von BS 7799 und löst dieses ab.