信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整（zhěng）性 (Integrity) 和可用性 (Availability) 的保持（chí）。

•  保密性：为保障信（xìn）息仅仅（jǐn）为那（nà）些被授权使用的人获取（qǔ）。

 信（xìn）息的保密（mì）性是针对信（xìn）息被允许访问（ Access ）对象的多少而不（bú）同，所有人员（yuán）都（dōu）可以访问的信息为公（gōng）开信息，需要限制访问的信息一般为敏感信息（xī）或秘密，秘密可以根据（jù）信（xìn）息的重要性及保（bǎo）密要求分（fèn）为不同的密级，例如国家（jiā）根据（jù）秘密泄（xiè）露（lù）对国家经济、安全利益（yì）产生的影响（xiǎng）（后（hòu）果）不（bú）同，将（jiāng）国家秘密分（fèn）为秘密、机密和绝密三个等级，组织可根据其信息安全的实（shí）际，在符合《国家保密法》的前提下将其信（xìn）息划分为（wéi）不同的密级；对于具体的信（xìn）息的保密性有时效性，如秘（mì）密到期（qī）解密等（děng）。

 •  完（wán）整性：为保（bǎo）护信（xìn）息（xī）及其处理方法的（de）准确（què）性（xìng）和完整性（xìng）。

信（xìn）息完整性一方面是指信息在利（lì）用、传输（shū）、贮存等（děng）过程（chéng）中不被篡改（gǎi）、丢失、缺损等，另一方面是指信息处理的方法的正（zhèng）确性。不（bú）正当（dāng）的（de）操作（zuò），如（rú）误删除文件（jiàn），有可能造成（chéng）重（chóng）要文件的丢失。

 •  可（kě）用性：为（wéi）保障（zhàng）授权使用人在需要时（shí）可以（yǐ）获取信息和使用相关的资（zī）产。

信息（xī）的可用性（xìng）是指信息及相（xiàng）关的信息资产在授权人需要的（de）时候，可以立即获（huò）得。例如通信线（xiàn）路（lù）中断故障（zhàng）会（huì）造成信息的在一段时间（jiān）内（nèi）不可用，影响正常的（de）商（shāng）业（yè）运作，这是信息可用性的破坏。不同类型的（de）信（xìn）息及相应（yīng）资产的信息安全在保（bǎo）密性、完整性（xìng）及可用性（xìng）方面关（guān）注点不同，如组织的专有技术、市场（chǎng）营销计划等商业（yè）秘密对组织来讲（jiǎng）保守（shǒu）机（jī）密尤其重（chóng）要；而（ér）对于工（gōng）业自动控制系统，控制信息（xī）的（de）完（wán）整性（xìng）相对其保密性（xìng）重要得（dé）多。

为什（shí）么需要（yào）信息安全？

信息、信息处（chù）理（lǐ）过程（chéng）及对信息起支持作用的（de）信息系（xì）统和信息（xī）网络都是重（chóng）要（yào）的商务资（zī）产。信（xìn）息的保密性、完整性和可用性对保（bǎo）持（chí）竞争优势（shì）、资金流动、效益、法律符合（hé）性和（hé）商业形象都是至关重要的。然而（ér），越来越多（duō）的组织（zhī）及其信息系统和（hé）网络面临着包括计算机（jī）诈骗、间谍、蓄意破坏、火灾、水（shuǐ）灾等大范围的安全威胁，诸如计算机病毒（dú）、计算机入侵、 Dos 攻击等手段造成的信息灾难已（yǐ）变得更（gèng）加普（pǔ）遍 , 有计划而（ér）不（bú）易（yì）被察觉。组织对信（xìn）息系统（tǒng）和信息服务的依赖意味着更易受到安全威胁的破（pò）坏（huài），公共和私（sī）人网络的互连及信息（xī）资源的（de）共享（xiǎng）增大了实现访问控制的（de）难度。许多信息系统（tǒng）本身（shēn）就（jiù）不是按（àn）照安全系统的要（yào）求来设计（jì）的，所以仅（jǐn）依靠技术手段来实现信息安全有其（qí）局限性，所（suǒ）以（yǐ）信息安全的实现须得到管理和程序控制的适当支（zhī）持。确（què）定应采取哪些控制方式则需（xū）要（yào）周（zhōu）密计划，并注意细节。信息安全管理（lǐ）至少需（xū）要（yào）组织中的所有雇员的参与，此外（wài）还需要供应商（shāng）、顾客或股东的（de）参（cān）与和（hé）信息（xī）安全的专家建议。在（zài）信息系统（tǒng）设计阶段就将安全要求和控（kòng）制一体（tǐ）化考虑，则成本会更低、效率会更高。

 BS7799的信息管（guǎn）理过程（chéng）：

①确定信息安全管理方针。

②确定（dìng） ISMS( 信息安全管理体系) 的范围

③进行风（fēng）险分析。

④选择控（kòng）制目（mù）标（biāo）并进行控制（zhì）。

⑤建立业务（wù）持续计划。

⑥建立并（bìng）实施安（ān）全管（guǎn）理体系。

 建（jiàn）立信息安全管理（lǐ）体（tǐ）系的作（zuò）用：

 任（rèn）何组织，不论（lùn）它在信息技术方（fāng）面如何努力以及（jí）采纳如何新（xīn）的（de）信息安全技术，实际上在信息安全管理方面都还存在漏洞（dòng），例如（rú）：

· 缺（quē）少信息安全（quán）管理论坛，安全（quán）导向不（bú）明（míng）确，管理支持（chí）不（bú）明显； 

· 缺少跨部（bù）门的信息安全协调机制； 

· 保护特定资产以及（jí）完成（chéng）特定安全过程的职责还不明确； 

· 雇员信息安全意识薄弱（ruò），缺少防（fáng）范意识，外来人员很容易直接进入生产和工（gōng）作场所； 

· 组织信息系统管理（lǐ）制（zhì）度不够健全； 

· 组织信息系统主机房安（ān）全存在隐患，如：防火（huǒ）设施存在（zài）问（wèn）题，与危险（xiǎn）品（pǐn）仓（cāng）库同处一幢办公楼等； 

· 组（zǔ）织信息（xī）系统备份（fèn）设（shè）备仍有欠缺（quē）； 

· 组织信息系统（tǒng）安全防范技术（shù）投（tóu）入欠缺； 

· 软件知识（shí）产权保护欠缺； 

· 计算机房、办（bàn）公场所等物理防范措（cuò）施欠缺； 

· 档案、记录等缺少可靠（kào）贮存场（chǎng）所； 

· 缺（quē）少（shǎo）一旦发生意外时的保证生产经营连（lián）续（xù）性的（de）措（cuò）施和计划； 

        ……等（děng）等。

为什么要建立和实施ISO27001信息安全管理体系认证（2）

其实（shí），组织可以参照信息安全管理模型，按照先进的信息安（ān）全管理标准 BS7799 标准建立组（zǔ）织完整的信息安全管理体（tǐ）系（xì）并实施（shī）与保持，达到动态（tài）的、系统（tǒng）的（de）、全员（yuán）参与、制（zhì）度化的、以预防为主（zhǔ）的信息安全管理方式，用较（jiào）低的成本，达到可接受的信（xìn）息安全水平，就可以从根本上（shàng）保证（zhèng）业务的连续性（xìng）。组织建立、实施与保持信息安全（quán）管理（lǐ）体（tǐ）系将（jiāng）会（huì）产生如下（xià）作用：

· 强化（huà）员工的（de）信息安全意（yì）识，规（guī）范（fàn）组织信（xìn）息安全行为（wéi）； 

· 对组织的关（guān）键信息资产（chǎn）进行全面系（xì）统的保护，维持竞争优（yōu）势（shì）； 

· 在信息系统受到侵袭时，确保业务（wù）持（chí）续开展并将损失（shī）降到较（jiào）低程度； 

· 使组织（zhī）的（de）生意伙伴和客（kè）户对组织充（chōng）满信心； 

· 如果通（tōng）过体系认证，表明体系符合（hé）标（biāo）准，证明组织有能力（lì）保障重要信息，提（tí）高组织的名度与信任（rèn）度（dù）； 

· 促使管理层坚持贯彻信息安全保障体系。 

BS7799标准概述：

· 1995 年，英（yīng）国贸工部根据英国国内企（qǐ）业对信息安全日益高涨（zhǎng）的呼声（shēng），组织大企业的信（xìn）息安全经理们，制定了（le）世（shì）界上第（dì）一个信（xìn）息安（ān）全管理（lǐ）体系标准 BS7799-1 ： 1995 《信息安全管理实施（shī）规则》，作为工（gōng）商业和大、中、小型组织实施信息安全管理的指南。由于（yú）该标准采用建（jiàn）议和指导（dǎo）方式编写，因而不宜（yí）作为认证标准（zhǔn）使用。 

· 1998 年（nián），为（wéi）了适（shì）应（yīng）第三方认（rèn）证的需要，英（yīng）国又制定了第一个信息安全（quán）管理体系认证标（biāo）准 --BS7799-2 ： 1998 《信息安全（quán）管理体（tǐ）系规（guī）范》，作为对一个（gè）组（zǔ）织的全部或部分信息安全管理（lǐ）体系（xì）进行评审认证的依据标（biāo）准。 

· 1999 年，鉴于（yú）计算（suàn）机和信息处（chù）理技（jì）术，尤其是网络和通信领域应用（yòng）的迅速发展（zhǎn），英国又对信息安全管理体系标准（zhǔn）进行（háng）了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的 1999 版标准进一步强调了组织（zhī）在商（shāng）务（wù）工作中所（suǒ）涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建立和实施符合（hé） BS7799-2 ： 1999 标（biāo）准要求的信息安全（quán）管理体系提供了较佳的应（yīng）用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采（cǎi）纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技（jì）术—信（xìn）息（xī）安全管理实施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本修订（dìng）后（hòu）成为可用（yòng）于（yú）认证（zhèng）的（de） ISO/IEC 的《信（xìn）息安全管理体系（xì）规范》。 

信息安（ān）全认证是实现信（xìn）息安全目（mù）标的（de）较佳途（tú）径：

BS7799-2：2002信息安全管理体系（xì）规范向组织提（tí）出了一系列认证的要（yào）求，在总则中提出组织应建立（lì）并保持一个文件化的（de）信（xìn）息安全管理体系，阐述被（bèi）保护的资产（chǎn）、组织风险管理的渠道、控制目标及（jí）控（kòng）制方式和需（xū）要的保证等级（jí）；通（tōng）过建（jiàn）立管理架构并加（jiā）以实施来达（dá）到识别控（kòng）制目标和（hé）控制方式（shì），并（bìng）形成文件和记录。

BS7799-2：2002的控制细则包括10个方（fāng）面： 　

· 安（ān）全方（fāng）针：为信息安全提（tí）供管理指（zhǐ）导和（hé）支持（chí）； 

· 组织安全：建立信息安全架构，保证组织的（de）内部管理；被第三方访问或外协时，保（bǎo）障组织的（de）信息安全； 

· 资产的归（guī）类与（yǔ）控制：明确资产责任，保持对组织资产的适（shì）当保护；将信息进（jìn）行归类，确保信息资产受到（dào）适当程（chéng）度的保护； 

· 人员安全（quán）：在工（gōng）作说明和资（zī）源方（fāng）面，减少因人为错误、盗（dào）窃、欺诈（zhà）和设施误用造成的风险（xiǎn）；加（jiā）强用（yòng）户培训，确（què）保用户清（qīng）楚（chǔ）知道（dào）信息安全的（de）危险（xiǎn）性和相（xiàng）关事项（xiàng），以便（biàn）在（zài）他们的日常工作中支持组织的安全方针；制定安全事故（gù）或故障（zhàng）的反应程序，减少由安全事故和故障造成的（de）损（sǔn）失，监控安全事件并从这种事件中吸取（qǔ）教训； 

· 实（shí）物与环境安全：确（què）定安全区域，防止非（fēi）授权访问、破（pò）坏、干（gàn）扰商（shāng）务场所和信息；通过保（bǎo）障设备安全，防止资（zī）产的丢失、破坏、资产危害及商务活动的（de）中断；采用通用的控制（zhì）方式，防止信息或（huò）信息处理设施损坏（huài）或失窃； 

· 通信和操作方式管理：明确操（cāo）作程序及其责（zé）任，确保信息处（chù）理设（shè）施的正确、安全操作；加强系统策划与（yǔ）验（yàn）收，减少系统失效（xiào）风险；防范恶意（yì）软件以保持软（ruǎn）件和信息的完（wán）整性；加（jiā）强内务管理以（yǐ）保（bǎo）持信息（xī）处理和通讯服务的完（wán）整性和有（yǒu）效性（xìng）通过 ; 加（jiā）强（qiáng）网络管理确保（bǎo）网络中（zhōng）的（de）信息安全及其辅助设施受到保护；通（tōng）过保护媒体处理的安全 , 防止资产损（sǔn）坏和商（shāng）务活动（dòng）的中断（duàn）；加强信息和软件的交（jiāo）换的管理（lǐ），防止组织间在交（jiāo）换信息时发生丢失、更（gèng）改和误用（yòng）； 

· 访问控（kòng）制（zhì）：按照访问控制的商（shāng）务要求，控制信息访问；加（jiā）强（qiáng）用户访问管理，防止非授权访问（wèn）信息系统；明确用户职（zhí）责，防止非授权的用户（hù）访问；加（jiā）强网络（luò）访问控制，保护网络服（fú）务程序；加强操作系统（tǒng）访问控（kòng）制 , 防止非授权的（de）计算（suàn）机访（fǎng）问；加强（qiáng）应用访问控制，防止（zhǐ）非授权访问（wèn）系统中的（de）信息；通过监控系统的（de）访问与使用（yòng），监测非授（shòu）权行（háng）为；在移动式计算和电传工作方面 , 确保使用移动式计算和电传工作（zuò）设施的信息（xī）安全； 

· 系统（tǒng）开发与（yǔ）维护：明确系统安全要求，确保（bǎo）安全性已构成信息系统的（de）一部份；加强应用（yòng）系统的安全，防止应用（yòng）系统（tǒng）用（yòng）户数据的丢失、被修改或误（wù）用；加强密码技术控制（zhì），保护信息的保密性、可靠性或（huò）完整性；加强系统文件（jiàn）的安（ān）全，确（què）保（bǎo） IT 方案及其支（zhī）持活（huó）动以安（ān）全的方式进行；加（jiā）强开发和支持过程的安全（quán），确保应用系统软件（jiàn）和信息（xī）的（de）安全； 

· 商务连续性管理：防止商务（wù）活（huó）动（dòng）的中断及保护关键（jiàn）商（shāng）务过程不受重（chóng）大失误或（huò）灾难事故的（de）影响； 

· 符合：符合法律法规要求，避免刑法、民法（fǎ）、有关法令法规或（huò）合同约定事（shì）宜及其他（tā）安全要求的（de）规定（dìng）相（xiàng）抵触；加强安全（quán）方针（zhēn）和技（jì）术符合性评审（shěn），确保（bǎo）体系按照组织（zhī）的（de）安全方针及标准执行；系统（tǒng）审核（hé）考虑（lǜ）因素，使效果较大（dà）化 , 并使系统（tǒng）审核过程的影响较小化。 　 

在国（guó）际标准 ISO/IEC17799 给（gěi）出了为实现信息安全认证所需的（de）各项（xiàng）措施的详（xiáng）细指导，具有很强的（de）可（kě）操作（zuò）性和指导性。

归（guī）根结底，信（xìn）息安全工作的目的就是在法律、法规、政策的（de）支持（chí）与指导下，通过（guò）采用合适的安全技（jì）术与安全管理措施，提供安（ān）全需求的保证，而 BS7799 信息安全（quán）认证标准（zhǔn）正是总和了这些要求。组（zǔ）织（zhī）可以根据自身（shēn）特（tè）点，在 ISO/IEC 17799 指（zhǐ）导下，实（shí）现信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系要（yào）求》是关于（yú）信息（xī）安全管理（lǐ）的标准，是标（biāo）准不（bú）是方法，达到这些标准的要求并（bìng）不难，重（chóng）要的是用什么（me）方法去实现。企（qǐ）业应将实（shí）施标准作为改善内部管理的一次机会（huì），不应该（gāi）将标准（zhǔn）做为一种简单的模式对现有流程运作（zuò）进行套用，应对现有的组织运作流程进行详细分析（xī），有针对性地设计并改善（shàn）现有管（guǎn）理体系、改善薄弱环节、改（gǎi）善（shàn）运（yùn）作流程（chéng）及内部沟通，并有效地将先进的管理思想融合（hé）到具（jù）体的实施程序中，才能（néng）发挥标准的真正作用。

获得认证证书不是（shì）较终目的，建立有责、有序、有效的信息安全管理体（tǐ）系，提高（gāo）员工的信（xìn）息安全意识，不（bú）断获取并运用先进的管理方法和技术手段才能使（shǐ）企业的信息（xī）安全管理（lǐ）水平得以持续的发展和提升。