信息安全 (Information security): 是指信息的保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性（xìng）：为保障信息仅仅为那些（xiē）被（bèi）授权使用的人（rén）获取（qǔ）。

 信息的保密性（xìng）是针对信息（xī）被允许访问（ Access ）对象的多少而（ér）不同，所（suǒ）有人员（yuán）都可以访（fǎng）问的信（xìn）息（xī）为（wéi）公开信息，需要限制访问（wèn）的信（xìn）息一（yī）般为（wéi）敏感信息或秘密，秘密可（kě）以根据（jù）信息的重要性及保密（mì）要求分为不同的（de）密级，例（lì）如国（guó）家根（gēn）据秘密泄露对（duì）国（guó）家经济、安全利益产生的影响（后果）不同（tóng），将国家秘密（mì）分为（wéi）秘密、机密和绝密三个等（děng）级，组织可根据（jù）其（qí）信息安（ān）全的实际，在符合《国家保密法》的前提下将其信息划分（fèn）为不（bú）同的密级；对于（yú）具体的信息的（de）保密性有（yǒu）时效性，如秘密到期（qī）解密等。

 •  完整性：为保护信息及其处理方法的准（zhǔn）确（què）性和完整性。

信息（xī）完（wán）整性一（yī）方面是指信息在利用、传输、贮存等过程中（zhōng）不被篡改、丢失、缺（quē）损等，另一方面是指信息处理的方法的正确性。不（bú）正（zhèng）当的操作（zuò），如误删除文件，有可能造成（chéng）重要文件的丢（diū）失（shī）。

 •  可用性：为（wéi）保（bǎo）障授（shòu）权使用（yòng）人在需要时（shí）可以获取信息和使（shǐ）用相关的资产。

信（xìn）息（xī）的可（kě）用性是指信息（xī）及相关的信息资产在授（shòu）权人需要的时候，可以（yǐ）立即获得。例如通信线路中断故障会造成信息的（de）在一段时间内不可用，影（yǐng）响正（zhèng）常（cháng）的商（shāng）业运作，这（zhè）是信息可（kě）用性（xìng）的（de）破坏。不同类型的信息及相（xiàng）应（yīng）资产的信息安全（quán）在保密性、完整性及可（kě）用性方（fāng）面关注点不（bú）同，如组织的专有技（jì）术、市场营销计划等商业秘密对组织来讲保守机密尤其（qí）重要；而对于工业自动（dòng）控制系统，控制（zhì）信息（xī）的完整性相对其保密性（xìng）重要得多。

为什（shí）么需（xū）要信（xìn）息安全？

信息、信（xìn）息处理过程及对信息起支持作用的信息系统和信息网络（luò）都是重（chóng）要的商务资产。信息的保密性、完整性和可用性（xìng）对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关（guān）重（chóng）要（yào）的。然而，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围（wéi）的安全（quán）威胁，诸如计算机病（bìng）毒、计算（suàn）机入侵（qīn）、 Dos 攻击等手段造成的信息灾难已变得更加（jiā）普遍 , 有计划而不易被察觉。组（zǔ）织对信息系统和信息服（fú）务的（de）依赖意味着更（gèng）易受到安全威胁的破坏，公共和私（sī）人网络的互连及信息资源（yuán）的共享增大了实现访问控制的难度（dù）。许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段（duàn）来实现信息安全有（yǒu）其局限性，所以信息安全的实现（xiàn）须得（dé）到管理和程序控制的适当支持。确定应采取（qǔ）哪（nǎ）些（xiē）控制方式则需要周密计（jì）划，并注意细节。信息安全管理至少需（xū）要组织（zhī）中（zhōng）的所（suǒ）有雇员的参与（yǔ），此外还需要供应商、顾客或股东的（de）参与和（hé）信息（xī）安全的专家建议。在信息系统设计阶段就将安（ān）全（quán）要求和控制一体化考虑，则成（chéng）本（běn）会更低、效率会更高。

 BS7799的信（xìn）息管理过（guò）程：

①确定信息安（ān）全管理方针。

②确定 ISMS( 信息安全管理体系（xì）) 的范围

③进（jìn）行风险分析。

④选择控制目标并进（jìn）行控制（zhì）。

⑤建立业务持续计划。

⑥建（jiàn）立并实施安全（quán）管理体系（xì）。

 建立信息安全管理体（tǐ）系的作（zuò）用：

 任何组织，不论它（tā）在信息技术方面如何（hé）努力以及（jí）采（cǎi）纳如何新的（de）信息安全技术，实际上在信息（xī）安全管理方面都还（hái）存在（zài）漏洞，例如：

· 缺少信（xìn）息安全管理论坛，安全导向不（bú）明确，管理支（zhī）持不明显； 

· 缺少跨部（bù）门（mén）的信（xìn）息安（ān）全协调（diào）机制； 

· 保护特定资产以及完成特定安（ān）全过程的职责还不明确； 

· 雇员信息安全意识薄弱，缺少防范（fàn）意（yì）识（shí），外来人（rén）员很（hěn）容（róng）易（yì）直接进入生产和工（gōng）作场（chǎng）所； 

· 组织信息系统管理制度不够健全； 

· 组织信（xìn）息系统主（zhǔ）机房安全存在隐（yǐn）患（huàn），如：防（fáng）火设（shè）施存在问题，与危险（xiǎn）品仓库同处一幢办公楼等； 

· 组织信息系统备份设备仍有欠（qiàn）缺； 

· 组（zǔ）织（zhī）信息系统安（ān）全防范技术投入欠缺（quē）； 

· 软件知识产权保（bǎo）护（hù）欠缺； 

· 计算机房、办公场所等物理防范措施欠（qiàn）缺； 

· 档案（àn）、记录（lù）等缺少可靠贮存场所； 

· 缺少（shǎo）一旦发（fā）生（shēng）意外时的保（bǎo）证生产经营连续性（xìng）的措施和计划； 

        ……等等。

为什么要（yào）建立（lì）和实施ISO27001信（xìn）息安全管理体（tǐ）系认证（2）

其实，组织可以参照信息安全（quán）管理（lǐ）模（mó）型（xíng），按照先进的信息安（ān）全管理标准 BS7799 标准建立组织（zhī）完整的信息安全管（guǎn）理（lǐ）体系并实施与保持，达到动态的、系统的（de）、全（quán）员参与、制（zhì）度化的、以（yǐ）预防为主的信息（xī）安全管理方（fāng）式，用较（jiào）低的成本，达到（dào）可接受的信息安全水平（píng），就（jiù）可以从根本上保证（zhèng）业务的连（lián）续（xù）性（xìng）。组织建立、实施与保持信息安全管理（lǐ）体系将会产生如下作用：

· 强化员工（gōng）的信息（xī）安全意识，规范组（zǔ）织信（xìn）息安全行（háng）为； 

· 对（duì）组（zǔ）织的关键信息（xī）资产（chǎn）进行全（quán）面系统的保护，维（wéi）持竞争优（yōu）势； 

· 在信息系统受到侵袭时，确保业务持续开展（zhǎn）并将损失降到较低（dī）程度（dù）； 

· 使组织的生意伙伴和客户对组织充满（mǎn）信心； 

· 如果通过体（tǐ）系认证，表明体系符合标准（zhǔn），证（zhèng）明组织（zhī）有能力保障重（chóng）要信息，提高组织的名度与信任度； 

· 促使管理层坚（jiān）持贯彻信息（xī）安全保障（zhàng）体系。 

BS7799标准概述（shù）：

· 1995 年，英国贸工（gōng）部根据英国国内企业对信息安全（quán）日益高（gāo）涨的（de）呼声，组织（zhī）大（dà）企业（yè）的信息安全经理们（men），制定了世界上（shàng）第一个信息安全管理（lǐ）体系标准 BS7799-1 ： 1995 《信（xìn）息安全管理实施规则》，作为工商业和大（dà）、中、小型组（zǔ）织（zhī）实施信息安（ān）全（quán）管理的指南。由于该标准采用建议和指导方（fāng）式编写，因而不宜作为认（rèn）证标（biāo）准使用。 

· 1998 年，为了适应第三方认证的（de）需要，英国又制定了第一个信息安全管理体系认证标（biāo）准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作为对一个组织（zhī）的（de）全部或部分信息安全管理体系进行评审认证的（de）依据标准。 

· 1999 年（nián），鉴于计算机和（hé）信息处理技（jì）术（shù），尤其（qí）是网络和通信领域应用的迅速发（fā）展，英国又对信（xìn）息安全管理体系标准（zhǔn）进行了修订。修订（dìng）后的 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 分别取代（dài）了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的（de） 1999 版标准（zhǔn）进一步强（qiáng）调了组织在商务工作中所涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对（duì）配套标准（zhǔn）， BS7799-1 ： 1999 为如何（hé）建立和实施符合 BS7799-2 ： 1999 标准要求的（de）信息安全（quán）管理体系提供了较佳的应用建（jiàn）议（yì）。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管（guǎn）理实施规则》，另外（wài）， BS7799-2 ： 1999 也即将于 2002 年底（dǐ）被 ISO/IEC 作为蓝本（běn）修订（dìng）后成（chéng）为可用（yòng）于认证的 ISO/IEC 的《信息安全（quán）管（guǎn）理体系规（guī）范》。 

信息安全认证是实现信息安全目标的较佳途径：

BS7799-2：2002信息（xī）安全管理体系规范向组织提出了一系列（liè）认证的要求，在总则中提出（chū）组织（zhī）应建立并保持一（yī）个文（wén）件化的（de）信息安全管理（lǐ）体（tǐ）系，阐（chǎn）述被保护的资产、组（zǔ）织（zhī）风险管理的渠（qú）道、控制目（mù）标及控（kòng）制（zhì）方（fāng）式和需要的保证（zhèng）等级；通过建立管理架构并加以（yǐ）实（shí）施（shī）来达到（dào）识别（bié）控制目标和控（kòng）制方式，并形（xíng）成（chéng）文件和记录。

BS7799-2：2002的控制细（xì）则包（bāo）括10个方面： 　

· 安全（quán）方针：为信息（xī）安全提供管理指导和（hé）支持； 

· 组织安全（quán）：建（jiàn）立信息（xī）安全架（jià）构（gòu），保证组（zǔ）织的内部管理（lǐ）；被第（dì）三方访问或外协时，保障组织的信息（xī）安全； 

· 资产的归类（lèi）与控制：明确资产责任，保持对（duì）组织资（zī）产的适当保护；将信（xìn）息进行（háng）归类，确保信息资产受到（dào）适当程度的保护； 

· 人员安全：在工作（zuò）说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户（hù）清楚（chǔ）知道（dào）信息安全的危（wēi）险性和相关事项（xiàng），以便在他们的日常工作中（zhōng）支持组织的安（ān）全（quán）方针；制（zhì）定安全事故或（huò）故障（zhàng）的反应程序，减少由安全事故和故障造成的损失，监（jiān）控安全（quán）事（shì）件并（bìng）从这种事件中吸取教训； 

· 实物与环境安全：确定安（ān）全（quán）区域，防止非授权访问、破坏（huài）、干扰商务（wù）场所（suǒ）和（hé）信息（xī）；通（tōng）过（guò）保障（zhàng）设备安全，防止资产的丢失、破坏、资产危害及商务活（huó）动的中（zhōng）断；采用通用（yòng）的控制方式，防止（zhǐ）信（xìn）息或信息处理设（shè）施损坏或失窃； 

· 通信和操作（zuò）方式（shì）管理：明（míng）确（què）操作（zuò）程序及其责任（rèn），确（què）保信（xìn）息（xī）处理设施的（de）正确（què）、安全操作；加（jiā）强系统策划（huá）与验收，减少系统（tǒng）失效风险；防（fáng）范恶意软件以保持软件和信息的完整性（xìng）；加强内务管理以保持信（xìn）息处理和通讯服务的完整性和有效性（xìng）通（tōng）过 ; 加强（qiáng）网络（luò）管理确保网络中的信息（xī）安全及其辅助（zhù）设（shè）施受到保护；通过保护媒体处理的（de）安（ān）全 , 防止（zhǐ）资产损坏和商务活（huó）动（dòng）的中断（duàn）；加强信（xìn）息（xī）和软件的交（jiāo）换的（de）管（guǎn）理，防止组织间在交换信息时发生（shēng）丢失、更改和（hé）误用； 

· 访问控制（zhì）：按（àn）照访问控制的商（shāng）务要求，控制信息访问；加强用户访问管理，防止非授（shòu）权访问信（xìn）息系统；明（míng）确用户职责，防止非授权（quán）的（de）用户访问；加强网络访（fǎng）问控（kòng）制，保（bǎo）护网（wǎng）络服务程序；加（jiā）强操作系统访问（wèn）控制 , 防（fáng）止非授（shòu）权的计算机（jī）访问（wèn）；加强应用访（fǎng）问控制，防止非授权访问（wèn）系统中的信息；通过监控系统的（de）访问（wèn）与使用，监测非（fēi）授权行为；在移动式计算和电传工作（zuò）方面 , 确保使用移（yí）动式计算（suàn）和电传工作（zuò）设施的（de）信息安全； 

· 系统开发与维护：明确系（xì）统安（ān）全要求，确保安全性已构成信息系统的一（yī）部份；加强应用（yòng）系统的安全，防止应用（yòng）系统用户数（shù）据的丢失、被修改或（huò）误用；加强密码（mǎ）技（jì）术控制，保护信息（xī）的保密性、可靠（kào）性或完（wán）整性；加强系统（tǒng）文件的安全，确保 IT 方案及其支持活动以安（ān）全的方式进行；加强开发和支持过（guò）程的安全，确保应（yīng）用系统软件和（hé）信息（xī）的安全（quán）； 

· 商务（wù）连续（xù）性管（guǎn）理：防止商务活动的中断及保护关键（jiàn）商务过程不受（shòu）重大失误或灾难事故的影响； 

· 符（fú）合：符合法（fǎ）律法规要（yào）求，避免刑法、民法、有关法令法规或合同约定事（shì）宜及（jí）其他安全要求的（de）规（guī）定相抵触；加强（qiáng）安全方针和技术符合性评审，确（què）保（bǎo）体（tǐ）系按照组织的安全方针及标准执行；系统审核考虑因（yīn）素，使效果较（jiào）大化 , 并使系统审核过程的影（yǐng）响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实（shí）现信息安全（quán）认（rèn）证所需（xū）的各项措施的详（xiáng）细指（zhǐ）导，具有很强的可操作性和（hé）指导性。

归（guī）根结底，信息安全（quán）工作的（de）目的（de）就（jiù）是在法律、法（fǎ）规、政策的支持（chí）与指导下，通过采用合适的安全技术（shù）与（yǔ）安全（quán）管理措施，提供（gòng）安全需求的保证，而 BS7799 信息安全认证标（biāo）准正（zhèng）是总和（hé）了（le）这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指（zhǐ）导下，实现信息安全的要求（qiú）。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系要求》是关于信息安全管理（lǐ）的（de）标准（zhǔn），是标准不是方（fāng）法，达到这（zhè）些标准的要求并（bìng）不难，重要的是用什（shí）么方法去实现。企业（yè）应将实施（shī）标准作为改善内部管理的一（yī）次机会，不应该将标准做（zuò）为一（yī）种简单的模式对现有流（liú）程运（yùn）作进行套用，应对（duì）现有的组织运作（zuò）流程进行详细分（fèn）析（xī），有（yǒu）针对性地设计并改（gǎi）善（shàn）现有管（guǎn）理体（tǐ）系、改善薄弱环（huán）节（jiē）、改（gǎi）善（shàn）运作流程及内部沟通，并有效地将先进（jìn）的（de）管理思想融合到（dào）具体（tǐ）的实施程序（xù）中，才能（néng）发挥（huī）标准的真正作用。

获得（dé）认证证书不是（shì）较终目（mù）的，建立有责（zé）、有序、有效的信（xìn）息安（ān）全管（guǎn）理体系（xì），提高员（yuán）工的信息安（ān）全（quán）意（yì）识，不断获（huò）取（qǔ）并运用先进的管理方法（fǎ）和技术（shù）手段（duàn）才（cái）能使企业的（de）信息（xī）安全管（guǎn）理水（shuǐ）平得以持续的发（fā）展和提（tí）升。