信息安全 (Information security): 是（shì）指信息的保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和（hé）可用性 (Availability) 的（de）保持。

•  保密性（xìng）：为保障信息仅仅为那些被（bèi）授（shòu）权使用的人获取。

 信息（xī）的保密性是针对（duì）信息被允许访问（ Access ）对象的多少而（ér）不同，所有人员都可以访问的信息为公开信息，需要限制访（fǎng）问的信（xìn）息一般为敏感（gǎn）信息或秘密，秘密可以根据信息的（de）重要性（xìng）及保（bǎo）密要（yào）求分为不同的（de）密（mì）级，例如国家根据秘密泄（xiè）露对（duì）国家经济、安全利益产生的影响（后果）不同，将（jiāng）国家秘（mì）密分为秘密、机密和（hé）绝密三个等级，组织可（kě）根据其信息安全的（de）实际，在符合《国家保（bǎo）密法》的（de）前提下将（jiāng）其信息划（huá）分为不同的密级；对于具体的信息的保密性有时效性，如（rú）秘密到期（qī）解密等（děng）。

 •  完（wán）整性：为（wéi）保护信息（xī）及其处理方法的准（zhǔn）确性和（hé）完（wán）整性。

信息完整性一方面（miàn）是指信（xìn）息（xī）在（zài）利用（yòng）、传输、贮存等过程中不（bú）被篡改、丢失、缺损等（děng），另一方（fāng）面是指信息处理（lǐ）的方法的正确性。不正当的（de）操作，如误删除文件（jiàn），有可能造成重要（yào）文（wén）件的（de）丢失。

 •  可（kě）用性：为保障授（shòu）权使（shǐ）用（yòng）人在需要（yào）时可以获（huò）取信（xìn）息和使用（yòng）相关的资（zī）产。

信息的可（kě）用性是指信（xìn）息及相（xiàng）关的信息资产在授权人需要的（de）时（shí）候（hòu），可以立即获得。例如（rú）通信线路中断故障会造（zào）成信（xìn）息的在一段时间内（nèi）不可（kě）用，影响正（zhèng）常的商业运作（zuò），这是信（xìn）息可用性的破坏（huài）。不同类型的（de）信（xìn）息（xī）及相应（yīng）资产的信息安全（quán）在保（bǎo）密性、完整性（xìng）及可（kě）用性方面关（guān）注点（diǎn）不（bú）同（tóng），如组织的专有技术、市场（chǎng）营销计划等商业（yè）秘密对组织来（lái）讲保守（shǒu）机密尤其重（chóng）要；而对（duì）于工业自动控制系统，控（kòng）制信息的完整（zhěng）性相对其保密性（xìng）重要得多。

为什么需要信（xìn）息安全（quán）？

信（xìn）息、信（xìn）息处理过程及对信息（xī）起支（zhī）持（chí）作（zuò）用（yòng）的信息系（xì）统和信息网络都是重要的商务资产。信息的保密性、完整（zhěng）性（xìng）和可用性对（duì）保（bǎo）持竞（jìng）争优（yōu）势、资金流动、效（xiào）益、法律符合性和（hé）商业（yè）形象都是至关（guān）重要的（de）。然而（ér），越（yuè）来越多的（de）组（zǔ）织及其信息系统和网络面临（lín）着包括计（jì）算机诈骗、间谍、蓄意破坏、火（huǒ）灾、水（shuǐ）灾（zāi）等（děng）大范（fàn）围的（de）安全（quán）威胁，诸如计算机病毒、计算机入侵（qīn）、 Dos 攻击等手（shǒu）段造（zào）成的信息灾（zāi）难已（yǐ）变（biàn）得更（gèng）加普遍 , 有计（jì）划而不（bú）易被察觉（jiào）。组织对信（xìn）息系统和信息服务的依赖意（yì）味着更易受到安全威胁（xié）的（de）破（pò）坏，公共和私人网络的互连（lián）及信（xìn）息资源（yuán）的共享增（zēng）大了实现（xiàn）访问控制的难度。许（xǔ）多（duō）信息系统本身就不是（shì）按照安全系统（tǒng）的要求来设计的，所以仅依靠（kào）技术手段来实现信息安全有其（qí）局限性（xìng），所（suǒ）以信息安全的实现须（xū）得到（dào）管理和程序控制的适当支持（chí）。确定应采取哪（nǎ）些（xiē）控制（zhì）方式则需要（yào）周密计划（huá），并注意细节。信息安全管理至少需要组织中的（de）所有雇员（yuán）的参与，此外还（hái）需要供（gòng）应商、顾客或股东的参与（yǔ）和信息安全的专家建议。在信息系统设计阶（jiē）段就将安全要求和控制（zhì）一体化考（kǎo）虑，则成本会更（gèng）低、效率会更高。

 BS7799的信息管理（lǐ）过（guò）程：

①确定（dìng）信息安全管理方（fāng）针。

②确定 ISMS( 信息安全管理体系) 的范围

③进（jìn）行风（fēng）险分（fèn）析。

④选择控制目（mù）标并进行（háng）控制。

⑤建立业务持续计划。

⑥建立并实施安（ān）全管（guǎn）理体系。

 建立信（xìn）息安（ān）全管理体系的作用（yòng）：

 任（rèn）何组织，不论它在信息技术方面如何努力以及采纳（nà）如何新（xīn）的信息安全（quán）技术（shù），实（shí）际上（shàng）在（zài）信（xìn）息安全管理方（fāng）面都还存在漏洞，例如（rú）：

· 缺少信息安全管理论坛（tán），安全导向不明确，管（guǎn）理支持（chí）不明显； 

· 缺少（shǎo）跨（kuà）部门的信息安全协调机（jī）制； 

· 保护特定资产以（yǐ）及（jí）完成特定安全过（guò）程的职责还不明（míng）确； 

· 雇员信息安全意识薄弱，缺少防（fáng）范意识，外（wài）来人员（yuán）很容易直接进入生产和（hé）工（gōng）作场所（suǒ）； 

· 组织（zhī）信（xìn）息系统管理制度不够健全； 

· 组织信息系统（tǒng）主机（jī）房安全存在隐患，如：防火设施存在（zài）问题，与危险品（pǐn）仓库（kù）同处一幢办公楼等（děng）； 

· 组织信息系统备份设备仍有欠（qiàn）缺； 

· 组织信息系（xì）统安全防范技术投入欠缺； 

· 软件知识（shí）产（chǎn）权保护（hù）欠缺； 

· 计算机房、办公场（chǎng）所等物理防范措施欠缺； 

· 档案、记录等缺少可靠（kào）贮存（cún）场所； 

· 缺少（shǎo）一旦（dàn）发生意外时的保证生（shēng）产经营连续（xù）性的（de）措施和计划； 

        ……等等。

为什么（me）要建立和实施ISO27001信息（xī）安全管理体系认证（2）

其实，组织可以参照信息安全管理模型，按照先进的信息安（ān）全管理（lǐ）标准 BS7799 标准建立组织完整的信息安全管（guǎn）理体系并实（shí）施与保持，达到动态的、系统的、全员（yuán）参与、制度化的（de）、以（yǐ）预（yù）防为主的信息安全（quán）管理（lǐ）方式，用较低的成本，达到可接受（shòu）的信（xìn）息安全水平，就可（kě）以从根本上保证业务的（de）连续性（xìng）。组织建立、实施与保（bǎo）持信息安全（quán）管（guǎn）理体系将会产生如下作用：

· 强化员工的信息（xī）安全（quán）意识，规范组（zǔ）织信息安（ān）全行为； 

· 对组（zǔ）织的关键信息（xī）资产进行全面系统的保护，维持竞争优势； 

· 在信息系统受到侵袭时，确保业务持续开（kāi）展并将（jiāng）损失降到较低（dī）程度（dù）； 

· 使组织的生意伙伴（bàn）和客户（hù）对组（zǔ）织（zhī）充满信心； 

· 如果通过体（tǐ）系认证，表明体系符合标准，证明组织有能力保障重要（yào）信息，提高（gāo）组织的（de）名度（dù）与信任度； 

· 促（cù）使管（guǎn）理层坚（jiān）持贯彻信（xìn）息安全（quán）保（bǎo）障体系。 

BS7799标准（zhǔn）概述：

· 1995 年，英国贸工部根据英国国（guó）内企（qǐ）业（yè）对信息安全（quán）日益高涨的（de）呼声，组织大（dà）企业（yè）的信息（xī）安（ān）全（quán）经理们，制定了世界（jiè）上第一（yī）个信息安全管理体系标（biāo）准 BS7799-1 ： 1995 《信息（xī）安全管理实施规则》，作为工商业和大、中、小（xiǎo）型组织实施（shī）信（xìn）息安全（quán）管（guǎn）理的指南（nán）。由（yóu）于该标准采（cǎi）用建议和指导方式编（biān）写，因而不宜作为（wéi）认证标准使用（yòng）。 

· 1998 年，为（wéi）了适（shì）应（yīng）第三方认（rèn）证的（de）需要，英国又制定了第一个信息安（ān）全（quán）管理体系认证标准 --BS7799-2 ： 1998 《信息安全（quán）管理体系规范》，作为对（duì）一个组织的全部或部（bù）分信息（xī）安（ān）全管理（lǐ）体系（xì）进行评审（shěn）认证的依据标准。 

· 1999 年，鉴于计算机和信息处理技（jì）术，尤（yóu）其是网络和通信领域应用的迅（xùn）速发展，英国又（yòu）对信息安全（quán）管理（lǐ）体系标准进（jìn）行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别（bié）取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强（qiáng）调了组织在商务工作中（zhōng）所涉及（jí）的信息安（ān）全和信息（xī）安全（quán）责任。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一对配套标准（zhǔn）， BS7799-1 ： 1999 为如何建立和实施符（fú）合 BS7799-2 ： 1999 标准要求的信息安全管理体系提供了较（jiào）佳的应用建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理（lǐ）实施（shī）规则》，另外， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作为蓝（lán）本修订后（hòu）成为可用于认证的 ISO/IEC 的《信息安（ān）全管理体系规范》。 

信息安全认证（zhèng）是实现（xiàn）信（xìn）息安（ān）全目标的较佳途径：

BS7799-2：2002信息安全管理体（tǐ）系规（guī）范向组织提（tí）出了（le）一系列认证的要求，在总则中提出组织应建（jiàn）立并（bìng）保持一个文件（jiàn）化的信（xìn）息（xī）安全管理（lǐ）体（tǐ）系，阐述被保护（hù）的资产、组织风险管理（lǐ）的渠道、控制目标及控（kòng）制（zhì）方式和需要的（de）保证（zhèng）等级；通（tōng）过建立管理架构（gòu）并加以实施（shī）来达（dá）到识别（bié）控制（zhì）目（mù）标和控制方式，并（bìng）形（xíng）成文（wén）件和记录。

BS7799-2：2002的控（kòng）制细则包括10个方面： 　

· 安全方针：为信息安全（quán）提供管理指导和支持（chí）； 

· 组（zǔ）织（zhī）安全：建（jiàn）立（lì）信息安全架构（gòu），保（bǎo）证组织的内部管（guǎn）理；被第三方访问或外协时，保障组（zǔ）织的信（xìn）息安全； 

· 资（zī）产的（de）归类与（yǔ）控制：明确（què）资产责任，保持对组织资产的适（shì）当保（bǎo）护；将信（xìn）息进行归类，确保信息资产受到（dào）适当程度的保（bǎo）护； 

· 人员安全：在工作说明和资源（yuán）方面（miàn），减少因人（rén）为错误（wù）、盗（dào）窃、欺诈和设施（shī）误用造成的风险；加强用户（hù）培训，确保用户清楚知道（dào）信息安全的危（wēi）险性和（hé）相关事项，以便（biàn）在他们的日（rì）常工作中支持组织的安（ān）全方针；制（zhì）定（dìng）安（ān）全事故或（huò）故障的反应（yīng）程序，减少（shǎo）由安全事故和故障造（zào）成的损失，监（jiān）控安全事件并（bìng）从这种（zhǒng）事件中吸取教训； 

· 实物与环境安全：确定安全区域，防止非（fēi）授权访问、破坏、干扰商务场（chǎng）所和信息；通过（guò）保障设（shè）备安全，防止资产的（de）丢失、破坏、资产危害及（jí）商务活动的中（zhōng）断；采用通用的控制（zhì）方式，防止信息或信息处理设施损（sǔn）坏或失窃； 

· 通信和（hé）操作方式管理：明确操（cāo）作程序及其责任（rèn），确保信（xìn）息处理设（shè）施的正确（què）、安全（quán）操作；加强系统策划与验收，减少系统失效风险；防范恶意软件以保持软件和信息（xī）的完整性；加强内务管理以保持信（xìn）息（xī）处（chù）理和（hé）通讯服务的（de）完整（zhěng）性和有效性通过 ; 加强网络管（guǎn）理确保网络中（zhōng）的信息安全及其辅助设施受到（dào）保护；通过（guò）保（bǎo）护媒体处理的安（ān）全（quán） , 防（fáng）止资产损坏和（hé）商务活动的中断；加强信息和软件的交换的管理，防止（zhǐ）组织间在交（jiāo）换信息时发生丢失、更改和误（wù）用； 

· 访问控制：按照访（fǎng）问控制（zhì）的商务要求，控制信息访问；加强用户访问（wèn）管理（lǐ），防止（zhǐ）非授（shòu）权访问信（xìn）息系（xì）统；明确（què）用（yòng）户职责，防止非授权的用户访问；加强网络访（fǎng）问控制，保护网络服（fú）务程序（xù）；加强操作系统访问控（kòng）制（zhì） , 防止非授权的计算机访问；加强（qiáng）应用访（fǎng）问控制（zhì），防止（zhǐ）非（fēi）授权访问系统中的信息；通过监控系统的访问与使用，监测非授权行为；在移动式计（jì）算和电传工作方面 , 确保使用移动（dòng）式计算和电传工作设施（shī）的信息（xī）安全； 

· 系统开发与（yǔ）维护：明确系统安全要求，确保安全性已构成信息（xī）系统的一（yī）部份；加（jiā）强应用（yòng）系统的安全，防止应（yīng）用系统用（yòng）户数据（jù）的（de）丢（diū）失、被修改或误用；加强密码技（jì）术控（kòng）制，保（bǎo）护信息的保密性（xìng）、可靠性或完整性；加强系统（tǒng）文（wén）件的安全，确保 IT 方案（àn）及其（qí）支（zhī）持活动以（yǐ）安全的方式进行；加强开发和（hé）支持过程的安全，确保应（yīng）用系统软（ruǎn）件和信息的（de）安（ān）全； 

· 商（shāng）务连（lián）续性（xìng）管（guǎn）理：防止商务活动（dòng）的中断及保（bǎo）护关键商务过程不受重大失误或灾难事故的影（yǐng）响； 

· 符（fú）合：符合（hé）法律法规要求，避免刑法、民法、有关（guān）法令（lìng）法规或合同约（yuē）定事宜（yí）及其他安（ān）全（quán）要（yào）求的（de）规定（dìng）相抵（dǐ）触；加强安全（quán）方针（zhēn）和（hé）技术符合（hé）性（xìng）评审，确保体系按照组织的安全方（fāng）针及标准执行（háng）；系（xì）统审核考虑因（yīn）素，使效果较大化 , 并使系（xì）统审核过程（chéng）的影响较（jiào）小化。 　 

在国（guó）际（jì）标准（zhǔn） ISO/IEC17799 给出了为（wéi）实现信息安全认（rèn）证所需（xū）的各项措（cuò）施的详细指导，具有很强的可（kě）操作性和指导（dǎo）性。

归根结底，信息安全工（gōng）作（zuò）的目的就是在法律、法（fǎ）规、政策的支持与（yǔ）指导下（xià），通过采（cǎi）用合适的安全技术与安全管理措施（shī），提（tí）供安全需求的（de）保（bǎo）证，而（ér） BS7799 信息（xī）安全认证标准正是总和了这些要求（qiú）。组织（zhī）可以根据自身特（tè）点（diǎn），在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息安（ān）全管理体系要（yào）求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于（yú）信息安全管理的（de）标准，是标（biāo）准不是方法，达到（dào）这些标准的要（yào）求并不难，重要的是用什么方（fāng）法（fǎ）去（qù）实现（xiàn）。企业应将实施标准（zhǔn）作为改善内（nèi）部管理的（de）一次机会，不应该将标准做（zuò）为一种简（jiǎn）单（dān）的模式对现有流（liú）程运作（zuò）进行套用，应对现有的组织运作流程（chéng）进行详细分析（xī），有针对性地设计并改善现有（yǒu）管理体系、改（gǎi）善薄（báo）弱环节（jiē）、改（gǎi）善运作流程及内部（bù）沟通，并有效地将（jiāng）先（xiān）进（jìn）的管理思想（xiǎng）融合到具体（tǐ）的（de）实施程序中（zhōng），才能发挥标准（zhǔn）的真（zhēn）正作用。

获得认证证（zhèng）书不是较终目的（de），建立有责（zé）、有序、有效的信息安（ān）全管理体系，提高员工（gōng）的（de）信息安（ān）全意识，不（bú）断获（huò）取并运用先进的（de）管理方法和（hé）技术手段才能使企业的信（xìn）息安全管理水平得以持续的发展和提升。