信（xìn）息（xī）安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持（chí）。

•  保密性：为（wéi）保（bǎo）障信息仅仅为那些被授权使用的人获取。

 信息的保密性是针对（duì）信息被允许访问（ Access ）对（duì）象（xiàng）的多少（shǎo）而不同，所有人（rén）员都可（kě）以访问的（de）信息为公开信息，需（xū）要限制访问的（de）信息（xī）一般为敏感信（xìn）息或（huò）秘密，秘（mì）密可以根据信息的重要性及保密要求分为不（bú）同的密级，例如（rú）国（guó）家根据秘密泄露对国家经济、安全利益产生的影（yǐng）响（后果（guǒ））不同，将国家秘密分为秘（mì）密、机密和绝（jué）密三个等级，组织可根据（jù）其信（xìn）息安（ān）全的实际，在符合《国家保密法》的前提下将（jiāng）其信息划分为不同的密级；对（duì）于具体的（de）信息的保密（mì）性（xìng）有时效性，如秘密到期解密等。

 •  完整（zhěng）性：为（wéi）保护信息及其处理（lǐ）方法的准确性和（hé）完整（zhěng）性。

信（xìn）息完（wán）整性一方面（miàn）是指信息在利用、传（chuán）输、贮（zhù）存等过程（chéng）中不被篡改、丢失、缺损等，另一方面（miàn）是指信息处理的方法的正确性。不正当（dāng）的操作，如（rú）误删除文件，有可能造（zào）成重要文件的丢失（shī）。

 •  可用性：为保障（zhàng）授（shòu）权使用人（rén）在需要时可以获取（qǔ）信息和使（shǐ）用相关的资产。

信息（xī）的可用性是指信息及相关（guān）的信息资产在（zài）授（shòu）权人需要（yào）的时候，可以立即获得。例如通信线路（lù）中断故障会造成信息（xī）的在一段时间（jiān）内不可用（yòng），影响（xiǎng）正常的商业运作，这是信息可用性的破坏。不同类（lèi）型的信息及（jí）相应资产的信息（xī）安全在保密性、完整性及可用性方面关注（zhù）点不（bú）同，如组织的专有技（jì）术、市场（chǎng）营销（xiāo）计划等商业秘密对组织来（lái）讲保守（shǒu）机密尤（yóu）其重要（yào）；而对于（yú）工业自动（dòng）控制系统，控制（zhì）信息的完整性相对（duì）其保（bǎo）密性重（chóng）要得（dé）多。

为什么需要信息安全？

信息、信息处理（lǐ）过程（chéng）及（jí）对（duì）信（xìn）息起支持（chí）作用的信息系（xì）统和（hé）信息网络都是重要的商（shāng）务资产。信息的保密性、完整（zhěng）性和可用性对保持竞争（zhēng）优势（shì）、资金流动、效益（yì）、法（fǎ）律符合性和商业形象都是至关重（chóng）要的。然而（ér），越来越多的组织及（jí）其信（xìn）息（xī）系（xì）统和网（wǎng）络面临着包（bāo）括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大（dà）范围（wéi）的安全威胁，诸如计算机病毒、计算机入侵、 Dos 攻（gōng）击等（děng）手段造成的（de）信息（xī）灾难已变得更加普遍 , 有计划（huá）而不易被察（chá）觉。组织对信息系统和信（xìn）息（xī）服务的依赖意味着更易受到（dào）安全威胁的破坏，公共和私人网（wǎng）络的互（hù）连及信息资源（yuán）的（de）共享增（zēng）大了实现（xiàn）访问控制的难度。许多（duō）信息（xī）系统本身就不是按照安（ān）全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局（jú）限（xiàn）性，所以信息安全（quán）的（de）实现须得到管（guǎn）理和程（chéng）序控制的适当（dāng）支持。确定应采取哪些控制方（fāng）式（shì）则（zé）需要周（zhōu）密计划，并（bìng）注意细节。信息（xī）安全（quán）管理至少需要组织中（zhōng）的所（suǒ）有雇员的参（cān）与，此外还（hái）需要供应商、顾客或股东的参与和（hé）信（xìn）息安全的专家建议。在信（xìn）息系（xì）统设（shè）计（jì）阶段就将安全要求和控制一体化（huà）考虑，则成（chéng）本会更（gèng）低、效率会更高。

 BS7799的信息管（guǎn）理过程：

①确定信息安全管（guǎn）理方针。

②确定 ISMS( 信息安全（quán）管理体（tǐ）系) 的范围（wéi）

③进行（háng）风险分析（xī）。

④选择（zé）控（kòng）制目标并进行（háng）控（kòng）制。

⑤建立业务持续（xù）计划。

⑥建（jiàn）立（lì）并实施安全管理体系。

 建立（lì）信息安（ān）全管理体系的作用：

 任何组织，不论它在（zài）信息技术方面如何努力以及采（cǎi）纳（nà）如（rú）何新的信息（xī）安全技术，实际（jì）上在信（xìn）息安全管理方面都还（hái）存在（zài）漏洞（dòng），例如：

· 缺少（shǎo）信息安全管理论坛，安全导向（xiàng）不明确，管理支持不明显（xiǎn）； 

· 缺（quē）少（shǎo）跨部门的信息（xī）安全协（xié）调机制； 

· 保护特（tè）定（dìng）资产以及完（wán）成特定安全过（guò）程的职责还不明确（què）； 

· 雇员信息（xī）安全（quán）意识薄弱，缺少防范意（yì）识，外（wài）来（lái）人员很容易直（zhí）接（jiē）进入（rù）生产和工作场（chǎng）所； 

· 组（zǔ）织（zhī）信息系（xì）统管理（lǐ）制度（dù）不够健全； 

· 组织（zhī）信（xìn）息系统主机（jī）房（fáng）安全存（cún）在隐（yǐn）患，如：防火设施存在（zài）问题，与（yǔ）危险品仓库同处一幢办公楼等； 

· 组织信息系统备份（fèn）设备仍有欠缺； 

· 组织信息系统安全防（fáng）范技术投入欠（qiàn）缺； 

· 软件知识（shí）产权（quán）保护（hù）欠（qiàn）缺； 

· 计（jì）算机房、办公场（chǎng）所等物理防范措施欠缺； 

· 档案、记录等缺少可靠贮存场所； 

· 缺（quē）少一旦发生意外时的保证生产经营连续性的措施和计划（huá）； 

        ……等等。

为什么要（yào）建立和实施ISO27001信息安（ān）全管理体系认证（2）

其实，组织可（kě）以（yǐ）参照信息安全管（guǎn）理模型，按照（zhào）先进的信（xìn）息（xī）安全管理（lǐ）标准（zhǔn） BS7799 标准建立组织完（wán）整（zhěng）的信息（xī）安（ān）全管理（lǐ）体系并实施与保持（chí），达（dá）到动态（tài）的、系（xì）统的、全员参与、制度化的、以预防为主（zhǔ）的信息安全管理方式（shì），用较（jiào）低的成本，达到可接受（shòu）的信息安（ān）全水（shuǐ）平，就（jiù）可以从根本上（shàng）保（bǎo）证业（yè）务（wù）的连（lián）续性。组织建立、实（shí）施与保持信息安全管理体系将会产生如下（xià）作（zuò）用：

· 强化员工的信（xìn）息安（ān）全意识（shí），规范组织信息（xī）安全（quán）行为； 

· 对组织（zhī）的关键信息资产进行全面系（xì）统的保（bǎo）护，维持竞争优势； 

· 在信息系统受到侵袭时，确保业务持续开展并将（jiāng）损（sǔn）失降到较低程度； 

· 使组织的生意伙伴和客户对（duì）组织（zhī）充（chōng）满信心（xīn）； 

· 如果（guǒ）通过体系认（rèn）证，表明（míng）体（tǐ）系（xì）符合标准，证明组织有能力（lì）保障（zhàng）重要信息，提高组织的名度与（yǔ）信任度； 

· 促使管理层坚持贯彻（chè）信息安全保障体系。 

BS7799标准（zhǔn）概述：

· 1995 年，英国贸（mào）工（gōng）部根据英国国（guó）内企业（yè）对信（xìn）息安全日（rì）益高涨的呼声，组织（zhī）大企业的（de）信（xìn）息安全经理（lǐ）们，制（zhì）定（dìng）了世界上第一（yī）个信（xìn）息安全管理（lǐ）体系（xì）标准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大、中（zhōng）、小型组织实（shí）施信息（xī）安全管（guǎn）理的指南。由于（yú）该标准采（cǎi）用建议和指导方式编写（xiě），因而不宜作为认证标准（zhǔn）使用。 

· 1998 年，为了适应第三方认证的需要（yào），英国又制定（dìng）了第一个信息安全管理（lǐ）体系认证标准 --BS7799-2 ： 1998 《信息（xī）安全管理体系规范》，作为（wéi）对（duì）一个组织的全部或部（bù）分信息（xī）安全管理（lǐ）体系进（jìn）行评审认证的依（yī）据标准。 

· 1999 年，鉴于计算机和信（xìn）息处理（lǐ）技术，尤其是网络和（hé）通信领域应用（yòng）的迅速发展，英国（guó）又对（duì）信息安全管理体（tǐ）系（xì）标准进行（háng）了（le）修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进（jìn）一步强调了组织（zhī）在商务工作中所涉及（jí）的信（xìn）息（xī）安（ān）全和信（xìn）息安（ān）全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建立和实施符合 BS7799-2 ： 1999 标准要求的信息安全（quán）管理（lǐ）体（tǐ）系（xì）提供（gòng）了较佳的应用建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成（chéng）为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施规（guī）则》，另（lìng）外（wài）， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作（zuò）为（wéi）蓝本修订后成为可用于认证的 ISO/IEC 的《信息安全（quán）管理体系规范》。 

信（xìn）息安全认（rèn）证是（shì）实现信息安全（quán）目标的较佳途径：

BS7799-2：2002信息（xī）安全（quán）管（guǎn）理体系规范向组织提出了一系列认证（zhèng）的要求，在总则中提出组织（zhī）应建立并（bìng）保持一个文件（jiàn）化的信息（xī）安全管理体系，阐述被保护的资产、组织（zhī）风险管理的（de）渠（qú）道、控（kòng）制目标（biāo）及控制方式和需要的保（bǎo）证等级；通过建立（lì）管理（lǐ）架构并加以实施来（lái）达（dá）到识别（bié）控制目标和控制方式，并（bìng）形成文件和记录。

BS7799-2：2002的（de）控制细（xì）则包（bāo）括10个方面： 　

· 安全方针：为信息安（ān）全（quán）提供（gòng）管理指（zhǐ）导（dǎo）和支持（chí）； 

· 组（zǔ）织安全：建立信息安全架构，保证组（zǔ）织的内部管理；被第三方访问或外协时，保障组织的信（xìn）息安全； 

· 资（zī）产的归类（lèi）与控制：明确资产责任，保持对（duì）组（zǔ）织资产的适当（dāng）保护；将信息进行归类，确保信息资产（chǎn）受到适（shì）当（dāng）程（chéng）度的保（bǎo）护； 

· 人员（yuán）安（ān）全：在工作（zuò）说明和资源方（fāng）面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户（hù）培训，确保用户（hù）清楚知道信息安（ān）全的危险性和（hé）相关事项，以便在他（tā）们的日常工作中支持组织的安（ān）全方针；制定安（ān）全事（shì）故或故障的反应程序（xù），减少由安全事故和（hé）故障造成（chéng）的损失，监（jiān）控（kòng）安全事件并（bìng）从这种事件中吸取（qǔ）教训； 

· 实物与环境安全：确定安全区域，防止（zhǐ）非授权访（fǎng）问、破坏、干（gàn）扰商务场所和信息；通（tōng）过保障设备安全，防（fáng）止资产的（de）丢失、破坏（huài）、资产危害及商务活动的中断；采用（yòng）通用的控制方（fāng）式（shì），防止信（xìn）息（xī）或信息处理设施损坏或（huò）失窃； 

· 通信和操（cāo）作方式管（guǎn）理：明确操作程序及其责任，确保信息处理设施的正确、安全操作；加强系（xì）统策划（huá）与验收，减少系（xì）统失效风险；防范恶意软件以保持（chí）软件和信息（xī）的完整（zhěng）性；加强内务管理以保持信息处理和（hé）通讯服务的完整性（xìng）和有（yǒu）效性通过 ; 加强网（wǎng）络管理确保网络中的信息安全及（jí）其辅助设施受到保（bǎo）护；通过保护（hù）媒体处理的安（ān）全（quán） , 防止资产损坏和商务活动的中断；加强（qiáng）信息（xī）和软件的交换的管理（lǐ），防止组（zǔ）织间（jiān）在交换（huàn）信息时发生丢（diū）失、更改和误用； 

· 访问控制：按照访问控（kòng）制（zhì）的商务要（yào）求，控制信（xìn）息访问；加强（qiáng）用户访问管理，防止非（fēi）授权访问信（xìn）息系统；明（míng）确用户（hù）职责，防止非授权（quán）的（de）用户访问；加强（qiáng）网络访问控制，保护网络服务程序；加强操作系统访问（wèn）控制 , 防止（zhǐ）非授权的计算（suàn）机访（fǎng）问；加强应用访（fǎng）问控制，防（fáng）止非（fēi）授权访问（wèn）系（xì）统中的信（xìn）息；通过监控系统的访问与使用，监测非（fēi）授权行为；在移动式计算和电传工作方面 , 确保使用移动式计算和（hé）电传工（gōng）作设施的信息安全； 

· 系统开发与维护（hù）：明确系统安（ān）全要求，确保安（ān）全（quán）性已（yǐ）构成信息系统的一部份；加强应用系统的安（ān）全，防止应用系（xì）统用户数据的（de）丢（diū）失、被修改或误用（yòng）；加强（qiáng）密码技术控（kòng）制，保护信息的保（bǎo）密性、可靠性或完整性；加强（qiáng）系统文件的安全，确保 IT 方案及其支持活（huó）动以（yǐ）安全的方式进行；加强开发和（hé）支持过程的安全，确保应用（yòng）系统软件（jiàn）和（hé）信息的安（ān）全； 

· 商务（wù）连续性管理：防止商务（wù）活动的（de）中（zhōng）断及保护关键商（shāng）务过程不受重大失（shī）误（wù）或灾难事故（gù）的（de）影响（xiǎng）； 

· 符合：符合法律法规要求，避免刑（xíng）法、民法、有关法令法（fǎ）规或（huò）合（hé）同（tóng）约定事宜及其他（tā）安（ān）全要求的规定（dìng）相（xiàng）抵触；加强安全（quán）方针和技术符合性评审（shěn），确保体系按照组织的安（ān）全（quán）方针及标准执行；系统审核考虑（lǜ）因素，使效果（guǒ）较大化 , 并使系（xì）统（tǒng）审核过（guò）程的影（yǐng）响较小（xiǎo）化（huà）。 　 

在国际标准 ISO/IEC17799 给出了为实现信息安（ān）全认证所需的（de）各项措施的详细指（zhǐ）导（dǎo），具（jù）有很强的可（kě）操作性和指导（dǎo）性。

归根结底（dǐ），信息安（ān）全工作的目的就是在法律、法规、政策的支持与指（zhǐ）导下，通过采用合适的安全技术与安全管理措施，提（tí）供（gòng）安全（quán）需求的保证，而 BS7799 信（xìn）息（xī）安全认证（zhèng）标准正是总（zǒng）和（hé）了这些（xiē）要（yào）求（qiú）。组织可以根据（jù）自身特点，在 ISO/IEC 17799 指（zhǐ）导下，实现信（xìn）息安全的要求。

 ISO27001：2005 《信息安（ān）全管理体系（xì）要求（qiú）》

 ISO27001 ： 2005 《信息（xī）安全管理体（tǐ）系要求》是关（guān）于信息（xī）安全管（guǎn）理的标准，是标准不是方（fāng）法（fǎ），达（dá）到这些（xiē）标准（zhǔn）的要（yào）求并（bìng）不难，重要的（de）是（shì）用什么（me）方法去实现。企业应将实施标准作为改善（shàn）内部管（guǎn）理的（de）一次机会，不应该将标准做为一种简单（dān）的模式（shì）对现有（yǒu）流程运（yùn）作进行套用，应对现有（yǒu）的组织运（yùn）作流程进（jìn）行详细分析，有针对性地设计并改（gǎi）善（shàn）现（xiàn）有管理（lǐ）体系、改善（shàn）薄（báo）弱环节（jiē）、改善运作流（liú）程及内部沟通，并有效地（dì）将先进的管理思（sī）想融合到具（jù）体的实施程序中，才能发挥标准（zhǔn）的真（zhēn）正作用。

获得认证（zhèng）证书不是较（jiào）终目的，建立有（yǒu）责、有序、有效的信息安全管理（lǐ）体系，提高员工的信息（xī）安全意识，不断获取并运（yùn）用先进的管理方法（fǎ）和（hé）技术手段才能使企业的信息安全管理水平得以持（chí）续的发展和提升。