信息安全 (Information security): 是指信息的保密（mì）性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的（de）保持。

•  保（bǎo）密（mì）性（xìng）：为保障信息仅仅为（wéi）那些被授权使用（yòng）的人获取。

 信息的保密（mì）性是针（zhēn）对信息被允许访问（ Access ）对象的多少而不同，所有人（rén）员都可以访问的（de）信息为公（gōng）开信（xìn）息，需（xū）要限制访问的信息一般为敏感（gǎn）信息或秘密，秘（mì）密可以根（gēn）据信息的重（chóng）要性及保密要求分为不同的密级（jí），例如（rú）国家根据秘（mì）密泄露（lù）对国家经济、安（ān）全利（lì）益产生的影响（后果）不（bú）同（tóng），将国家秘密（mì）分为秘密、机密和绝密三个等级，组织可根据其（qí）信息安全的实（shí）际，在符（fú）合《国（guó）家保密法》的前提下将（jiāng）其信息划（huá）分为不同的密级；对（duì）于具（jù）体的信息的保（bǎo）密性有时效性，如秘（mì）密到期解密等（děng）。

 •  完（wán）整性：为保护信息及其处理方（fāng）法的准（zhǔn）确性和完整性。

信息完整性一方面是指信息（xī）在利用（yòng）、传输、贮（zhù）存（cún）等过（guò）程中（zhōng）不被篡改、丢失、缺损等（děng），另一方面是指信息处理的方（fāng）法的正确性（xìng）。不正当（dāng）的操作，如误删除（chú）文件，有可能造成重要文件（jiàn）的丢（diū）失。

 •  可用性：为（wéi）保（bǎo）障（zhàng）授权使用人在需要时可以获取信息和使用相关的资产。

信（xìn）息的（de）可（kě）用性是指（zhǐ）信息及相关（guān）的信息资产（chǎn）在（zài）授权（quán）人需要的（de）时候，可以立即获得。例如通信（xìn）线（xiàn）路中断故障会造成信息的在一段（duàn）时间内不（bú）可用，影响正常的商（shāng）业（yè）运（yùn）作，这是信（xìn）息可用性（xìng）的破坏。不同类型的信息及相（xiàng）应资产的信息安全在保密性、完整性及可用性方面关（guān）注点不同（tóng），如组织（zhī）的（de）专有技术（shù）、市场营销计划等商业秘密对组织（zhī）来讲保守机密（mì）尤其（qí）重要；而（ér）对（duì）于工业自动控制（zhì）系统，控制信（xìn）息的完（wán）整性相对其保密性重要得多。

为什么需要（yào）信息安全（quán）？

信（xìn）息、信（xìn）息处理过程及对信息起支持作用的信息（xī）系统和（hé）信（xìn）息网络都（dōu）是重要的（de）商（shāng）务资产。信息的保密性、完整性（xìng）和（hé）可用性对保持（chí）竞争优势、资金流动、效益、法律符合性和商业形象（xiàng）都是至关重要的。然而（ér），越来越（yuè）多（duō）的（de）组织（zhī）及其信息系统和网络（luò）面临着包括计算机（jī）诈（zhà）骗、间谍（dié）、蓄意破（pò）坏、火灾、水灾等大范围（wéi）的安全（quán）威胁，诸如计（jì）算机病毒、计算（suàn）机入侵（qīn）、 Dos 攻（gōng）击等手段造成的信息（xī）灾（zāi）难已（yǐ）变得更加普遍 , 有计划而（ér）不易被察觉。组（zǔ）织对信息系统和（hé）信息服务的（de）依赖意味着更（gèng）易受到安全威（wēi）胁的破（pò）坏，公共和私人网络的（de）互连及（jí）信息资（zī）源（yuán）的共享增（zēng）大了实现访问控（kòng）制（zhì）的难度。许多信息系统本身就不（bú）是（shì）按照安全系统的要求来设计的，所（suǒ）以仅依（yī）靠技术手段来实现信息安全（quán）有其局（jú）限性，所以信息安全的（de）实现须得到（dào）管（guǎn）理（lǐ）和程序（xù）控制的适当支持。确定应采取（qǔ）哪些控制方式则需要周（zhōu）密计划，并注意细节。信息安全管理至（zhì）少需要组织（zhī）中（zhōng）的所有雇员的参与，此外还需要供应商、顾客或股（gǔ）东的参与和信息安全的专家建议。在信息系统设计阶段（duàn）就将安全（quán）要求和控制（zhì）一体化考虑，则成本会更低（dī）、效（xiào）率会更高。

 BS7799的信息管理过程：

①确（què）定信（xìn）息安全管理方针。

②确定（dìng） ISMS( 信息安全管理体系（xì）) 的范围

③进行风险分析。

④选择控制目标并进行控制。

⑤建立业（yè）务持续计划。

⑥建立并（bìng）实（shí）施安全管理体（tǐ）系。

 建立信息安全管理体系（xì）的作用：

 任何组织，不论（lùn）它在信息（xī）技（jì）术方（fāng）面（miàn）如何努力以及采纳如何新的信息安全技术，实际上在（zài）信息安全管理方面都还存在漏洞，例如：

· 缺少（shǎo）信（xìn）息（xī）安全管理论（lùn）坛，安全导向不明确，管（guǎn）理支持不明（míng）显； 

· 缺少跨部（bù）门的（de）信息安全协调（diào）机（jī）制； 

· 保护特定资产以及完成特定安全过程的职责（zé）还不（bú）明确； 

· 雇员信息安全意识（shí）薄弱，缺少防范意识（shí），外（wài）来人（rén）员很容易（yì）直接进（jìn）入生产和工（gōng）作（zuò）场所； 

· 组（zǔ）织信（xìn）息系统管（guǎn）理制度（dù）不够健全； 

· 组织信息系（xì）统主（zhǔ）机（jī）房安全存在隐患，如（rú）：防火设施存在问题，与危（wēi）险品仓库（kù）同处一幢办公楼等； 

· 组（zǔ）织信（xìn）息（xī）系统备（bèi）份设备仍有欠缺； 

· 组织信息系统（tǒng）安全防范技术投入欠缺； 

· 软件（jiàn）知识产权保护（hù）欠缺； 

· 计算机（jī）房、办公场所等物理防范措施欠（qiàn）缺； 

· 档案、记（jì）录等缺（quē）少可靠贮（zhù）存场所； 

· 缺少一旦发（fā）生意外时的保证生（shēng）产经营连续性的措施（shī）和（hé）计划； 

        ……等（děng）等（děng）。

为什么要（yào）建立和实施（shī）ISO27001信（xìn）息安全管理体系认证（zhèng）（2）

其（qí）实，组织可以参照信息安全管理（lǐ）模型（xíng），按照先进的信息安全（quán）管理标准 BS7799 标准建立组（zǔ）织完整的信息安全（quán）管理体（tǐ）系并（bìng）实施与保持，达到动态的（de）、系统的、全员参（cān）与、制度化的、以预防为主的信息安全管理方式，用较低的成本，达到可接受的信（xìn）息安全水平，就（jiù）可以从（cóng）根本上保（bǎo）证业务的（de）连续性。组织建立、实施与（yǔ）保持信息安（ān）全管理（lǐ）体（tǐ）系将会产生如下作用：

· 强化员工的信（xìn）息安全意识，规范组（zǔ）织（zhī）信息安全行为； 

· 对组织的关键（jiàn）信息资产进行全面系（xì）统的保护（hù），维持竞争优（yōu）势； 

· 在信息系统（tǒng）受到侵（qīn）袭时，确保业务（wù）持续开展并（bìng）将损（sǔn）失降到较低（dī）程度； 

· 使组织的生意伙伴和客户对组织充满信心（xīn）； 

· 如果通（tōng）过体系认证，表明（míng）体系符（fú）合标准，证明组织有能力保障重要信息，提高组（zǔ）织的名度与信任度（dù）； 

· 促（cù）使管理层坚持贯彻信（xìn）息（xī）安全（quán）保障体系。 

BS7799标准概（gài）述（shù）：

· 1995 年（nián），英国贸工部根据英国国内企业（yè）对信息安全日益高（gāo）涨的呼声，组织大企业的信（xìn）息安全经理们，制定了世界（jiè）上第一个信（xìn）息安（ān）全管理（lǐ）体系标（biāo）准（zhǔn） BS7799-1 ： 1995 《信息安全管理实（shí）施规则》，作（zuò）为工商（shāng）业和大、中（zhōng）、小型组织实施（shī）信息安全管理的指南。由于（yú）该标准采用建议和指导方（fāng）式编写，因而不宜作为认证标准使用（yòng）。 

· 1998 年，为了适应第三（sān）方认证的需要，英国又制定了第一个信息安全管理体系认（rèn）证标准 --BS7799-2 ： 1998 《信息（xī）安全管理体（tǐ）系规（guī）范》，作（zuò）为对一（yī）个组织的全部或部分信息安全（quán）管理体系进行评审认证的依（yī）据标准。 

· 1999 年，鉴（jiàn）于计算（suàn）机和信（xìn）息处理技术，尤其是网（wǎng）络和（hé）通信领域应用（yòng）的迅（xùn）速发展，英国又对信息安全管理（lǐ）体（tǐ）系标（biāo）准进行（háng）了修订。修订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订（dìng）的 1999 版（bǎn）标准（zhǔn）进一步（bù）强（qiáng）调了组（zǔ）织在商务工作（zuò）中所涉（shè）及的信息安全和信（xìn）息安（ān）全责（zé）任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配（pèi）套标准， BS7799-1 ： 1999 为如（rú）何（hé）建立和实（shí）施符合 BS7799-2 ： 1999 标准要求的信息安全管（guǎn）理体系提供了较佳的应用建议（yì）。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息（xī）技术（shù）—信（xìn）息安全管理实（shí）施（shī）规则》，另（lìng）外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本修订后成为（wéi）可用于认证的 ISO/IEC 的《信息安全管理体系规范（fàn）》。 

信息安全认证是实现信息安（ān）全目标的（de）较佳途径：

BS7799-2：2002信息安全（quán）管（guǎn）理体系（xì）规范向组织提出了一系列认证的要求，在总则中提出组织应（yīng）建立并保（bǎo）持一个文件化的信息安全管理（lǐ）体系，阐述被保护的资产（chǎn）、组织（zhī）风险管理的（de）渠道、控制目标及控（kòng）制（zhì）方式和需要的（de）保证（zhèng）等级（jí）；通（tōng）过（guò）建立管理架构并加以实施来达（dá）到识别控制目标和（hé）控（kòng）制（zhì）方式，并（bìng）形（xíng）成文件和记录（lù）。

BS7799-2：2002的控（kòng）制细则包括10个（gè）方面： 　

· 安全方针：为信息安全（quán）提供管理指导（dǎo）和支持； 

· 组织（zhī）安全：建立信（xìn）息安全架（jià）构，保证组织（zhī）的内（nèi）部（bù）管理；被第（dì）三方访问或外（wài）协时（shí），保障组织的信息安全； 

· 资产的归类与控制：明（míng）确资产责任，保（bǎo）持对组织资产的适（shì）当保护；将信息进行归（guī）类，确保（bǎo）信息资（zī）产受（shòu）到适当（dāng）程度的（de）保护； 

· 人员安（ān）全：在工作说明和（hé）资源方面，减少因人为（wéi）错误、盗（dào）窃、欺（qī）诈和设（shè）施误用（yòng）造成的风险；加（jiā）强（qiáng）用户培训，确保用（yòng）户清（qīng）楚知道信息安全的危险性和相关事项，以便（biàn）在他们的（de）日常工作中（zhōng）支持组织的安全方针（zhēn）；制（zhì）定安全（quán）事（shì）故或故（gù）障的反应程序，减少（shǎo）由安全事（shì）故和故障（zhàng）造成（chéng）的损失（shī），监控安（ān）全事件并从这种事（shì）件中吸取教训； 

· 实物与环境安全：确定（dìng）安全区域（yù），防止非（fēi）授权（quán）访问、破坏、干扰商务（wù）场所和信息；通过保障设备安全，防止资（zī）产的（de）丢失、破坏、资产危害及（jí）商务（wù）活动的（de）中断（duàn）；采用通（tōng）用的控制方式，防止信（xìn）息（xī）或信（xìn）息处理设施损坏或失窃； 

· 通信和操作方式管理：明确操作程（chéng）序（xù）及其责任，确保信息处理设施的（de）正确、安全操作（zuò）；加强系统策划与（yǔ）验收（shōu），减少系统失（shī）效风险；防范恶意软（ruǎn）件（jiàn）以（yǐ）保（bǎo）持（chí）软件和信息的完整性；加强内务管理以保持信息（xī）处理和（hé）通讯服（fú）务的（de）完整性和有效性通过 ; 加强网络管理（lǐ）确保网络中的信息安全及其辅助设施受到保护；通过保护媒体（tǐ）处（chù）理的安（ān）全 , 防止（zhǐ）资产损坏和（hé）商务活动的中断；加强信息和软（ruǎn）件的（de）交换的管理，防止组织间（jiān）在交换（huàn）信息时发生丢失、更改（gǎi）和误用； 

· 访问控制：按照访问（wèn）控（kòng）制的商务要求，控制（zhì）信息（xī）访问；加强用户访问管理（lǐ），防止非（fēi）授（shòu）权访（fǎng）问信（xìn）息系统；明确用户职责，防止非授（shòu）权（quán）的用（yòng）户访问；加（jiā）强（qiáng）网络访问控制，保护网络服务程序；加强（qiáng）操作系统访问控制 , 防止非授（shòu）权的计（jì）算机访问；加强（qiáng）应用访问（wèn）控制，防止非授权访（fǎng）问系统中的（de）信息（xī）；通过监控系统的访（fǎng）问与使用，监测非（fēi）授权（quán）行（háng）为；在（zài）移动式计算和电传工作方面 , 确保（bǎo）使用移动式计（jì）算（suàn）和电传工作（zuò）设施（shī）的信息安全； 

· 系（xì）统开（kāi）发与维护：明确系统安全要求，确保安全性已（yǐ）构成信息系（xì）统的（de）一部份；加强应（yīng）用（yòng）系统的安全，防（fáng）止应用系统用（yòng）户数据（jù）的（de）丢失（shī）、被修改或误用；加强密码技术控制（zhì），保护信息的保密性、可靠性或完（wán）整性；加强系（xì）统文件的（de）安全，确保 IT 方案及其支持（chí）活动以安（ān）全的（de）方式进行；加强开发和支持过程的（de）安全，确保应（yīng）用系统（tǒng）软件和信息的安全； 

· 商（shāng）务连续性管理：防（fáng）止商务（wù）活动的中断及保护（hù）关键商务过程不受重大失误（wù）或（huò）灾（zāi）难（nán）事故的影响； 

· 符（fú）合：符合法律法（fǎ）规要求，避免刑法、民法、有（yǒu）关法令法规或合同约定事宜及（jí）其他安全（quán）要求的规定相抵触；加（jiā）强安全方针和（hé）技术符合性评审，确保体系按照组织的安全方针及（jí）标（biāo）准执行；系统审核（hé）考虑因素（sù），使（shǐ）效果较大化 , 并使系统审核过程（chéng）的影响较小化。 　 

在（zài）国际标（biāo）准 ISO/IEC17799 给出了为实现信息安全认（rèn）证所（suǒ）需的各项措施（shī）的（de）详细指导，具有很强的（de）可操作性和指（zhǐ）导性。

归根结底（dǐ），信息安全工作的目的就是（shì）在法律、法（fǎ）规、政策的支持与（yǔ）指导下，通过采用合适（shì）的安全技术与（yǔ）安全管理（lǐ）措施，提（tí）供安（ān）全（quán）需求的保证，而 BS7799 信息安全认（rèn）证标准正（zhèng）是总和了这些要求。组织可以根据自身特（tè）点（diǎn），在 ISO/IEC 17799 指导下，实（shí）现信息安全的要（yào）求。

 ISO27001：2005 《信息安全管（guǎn）理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理（lǐ）体系（xì）要求》是关于信（xìn）息安全（quán）管理的标准，是标准不是（shì）方法，达到这些（xiē）标准的要（yào）求并不难，重要（yào）的是用什么方法去实现。企业应将（jiāng）实施（shī）标准作为改善（shàn）内（nèi）部管理的一次（cì）机会，不应该将标准做为一种简单的模式对（duì）现有流程运作进行（háng）套用，应（yīng）对现有（yǒu）的组织运作流程进行详细分析（xī），有针对性（xìng）地设计并改善（shàn）现有（yǒu）管理体（tǐ）系（xì）、改（gǎi）善薄弱环节（jiē）、改（gǎi）善运（yùn）作流程及内部沟（gōu）通，并有效地将先进的管理思想融合到具体的（de）实（shí）施程序中，才能发挥标准的真正作用。

获得认证（zhèng）证书不是较终目（mù）的（de），建（jiàn）立（lì）有（yǒu）责、有序、有效的信息安全（quán）管理体（tǐ）系，提（tí）高员工的信息安全意识，不断（duàn）获取并运（yùn）用先进的管（guǎn）理方法（fǎ）和技（jì）术（shù）手段（duàn）才（cái）能使企业的信（xìn）息安全管（guǎn）理水平得以持续的发展和提升（shēng）。