3月16日，由BSI英国标准协会主办，上海市信息安全测评认证中心和上海市计算机学会协办的"构建您的信息安全---2005信息安全管理体系研讨会"在上海成功开幕。

会上，上海市信息化委员会、上海市信息安全测评认证中心的主要领导、计算机学会秘书长就本次研讨会的相关主题做了重要讲话。来自BSI的成芳女士也站在国际标准的角度，针对行业的信息安全给出了具有建设性的建议。

据了解，参与本次研讨会的企业和机构，基本上都是行业内的代表和专业职能部门。众多与会人士表示，信息是企业的一项重要资产，一旦丢失、损毁或不适当地被曝光，会给企业带来一系列的损失。正如"冰山原理"一样，我们能直接感受到的数据的丢失，只是整体损失的冰山一角，潜藏在更深处的，可能是直接损失的6～53倍之多。这是任何企业所不愿看到的。

然而，如今所面临的问题是，对于防病毒工具、防火墙、入侵检测等技术控制以外的"灰色区域"如何来补充和保障信息的安全？据有关数据显示，信息安全事故中，有七成以上是由合法身份的用户造成的。这就使得本次研讨会的专题 "管理要与技术相辅相成" 的讨论尤为突出，与会者表示，除了技术以外，还要靠管理、靠流程、靠意识来保障业务、保障安全。

基于富含信息安全管理实践性的BS7799是本次研讨会上的热点。它由两部分组成，第一部分在2000年被发展成为ISO17799，第二部分是BS7799-2。BS7799结合了这两部分的优势，提供了体系实践的方向和具体实施的方法。它规范了10个安全控制区域，36个安全控制目标，127个安全控制措施，以风险评估为基础，提供自上而下的管理方法。

据BSI的有关人士表示，随着企业对信息安全管理重视程度的提高，会有越来越多的企业加入到国际信息安全管理认证的队伍中来，以此来确保企业尽可能高效地缩减信息安全的"灰色区域"。