信息安全 (Information security): 是指信息的保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性（xìng） (Availability) 的保持。

•  保密性：为保障信息仅仅为那些被授权（quán）使用（yòng）的（de）人（rén）获取。

 信息的保密性是针（zhēn）对信息（xī）被允许访问（ Access ）对（duì）象的多少而（ér）不同，所（suǒ）有（yǒu）人员（yuán）都可（kě）以访问的信息为公开信息，需要限制访问（wèn）的（de）信息一（yī）般为敏（mǐn）感（gǎn）信息或秘密，秘（mì）密（mì）可以根据信（xìn）息的重要性及保（bǎo）密要求分为不同的（de）密级（jí），例如国家根据（jù）秘（mì）密泄露对国家（jiā）经济、安全（quán）利益产生的影响（后果）不同，将国（guó）家秘密分（fèn）为秘密、机密（mì）和绝密三个等级，组织可根据其信息安全（quán）的实际，在符（fú）合（hé）《国（guó）家（jiā）保密法》的前提下将其信息划（huá）分为不同的密级；对于（yú）具体（tǐ）的信息的保密性有时效（xiào）性（xìng），如（rú）秘密到期解密等（děng）。

 •  完整性（xìng）：为保护信息及其处理方（fāng）法的（de）准确性和（hé）完整性。

信息完整（zhěng）性一方面（miàn）是指信息在利用、传输、贮存（cún）等过程（chéng）中不被篡改（gǎi）、丢失、缺（quē）损等，另一方面（miàn）是指信息处理的方法的正确（què）性。不正当的操作，如（rú）误（wù）删除（chú）文件，有（yǒu）可（kě）能（néng）造成重（chóng）要文件的丢失（shī）。

 •  可用性：为（wéi）保障授权使用人在需（xū）要时可以获取信（xìn）息和使用相关的资产。

信息的可用性是（shì）指信息及相（xiàng）关的信（xìn）息（xī）资产在授权人需要（yào）的时候（hòu），可以（yǐ）立即获得。例如通信线（xiàn）路中（zhōng）断故障会（huì）造成信息的在一段时间内不（bú）可用，影（yǐng）响正常的商业运作，这是信息可用性的破坏。不同类型的信息及相应资（zī）产的（de）信息安全在保密性、完整性（xìng）及可用性方（fāng）面（miàn）关（guān）注点不同（tóng），如（rú）组织的专有技术、市场营销计（jì）划等商业秘密对组织来讲保守机密尤其重要；而（ér）对于工业自（zì）动控制系统，控（kòng）制信息的完整性（xìng）相对其保密（mì）性重要得多。

为（wéi）什么需要信（xìn）息（xī）安全？

信息、信息处理（lǐ）过程（chéng）及对（duì）信（xìn）息起支持（chí）作用的信息系（xì）统和信息网络（luò）都是（shì）重要的商务（wù）资（zī）产。信（xìn）息的保密性（xìng）、完整性（xìng）和可用性对保持（chí）竞（jìng）争优势、资金流动（dòng）、效益、法律符合性和商业形象都是至关重要的。然而，越来越多的组织（zhī）及（jí）其信息系统和网络面临着包（bāo）括计算机诈骗、间谍、蓄意破坏、火灾（zāi）、水灾等（děng）大范围的安全威胁，诸如计算机病毒、计（jì）算机入侵、 Dos 攻击（jī）等手段（duàn）造（zào）成的信息灾难（nán）已变（biàn）得（dé）更加普遍 , 有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受（shòu）到安全威胁的破坏，公共（gòng）和私（sī）人（rén）网络（luò）的互连（lián）及信息（xī）资源的共享增大了实现访问（wèn）控制的难度。许多信息系统（tǒng）本身就（jiù）不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全（quán）有其（qí）局限性，所以信息安全（quán）的实现须（xū）得到管（guǎn）理和程序控制的适当（dāng）支持。确定应采取哪些（xiē）控制方式则需要周密计划，并注意（yì）细节（jiē）。信息安全管理至少需要组织中的所有雇员的（de）参与（yǔ），此外还需要供应（yīng）商、顾客（kè）或股东的（de）参（cān）与和信息安全的专家建议。在信息系统设计阶段就将安全要（yào）求和控制一体化考（kǎo）虑，则（zé）成（chéng）本会更低、效率会更高。

 BS7799的信息管理过（guò）程：

①确定信息安（ān）全管理方针（zhēn）。

②确（què）定 ISMS( 信息安全管理（lǐ）体系) 的范围（wéi）

③进行风险分析。

④选择（zé）控制目标并（bìng）进行控制。

⑤建立（lì）业务持续计划。

⑥建立（lì）并实施安全管理体系。

 建立信息安全（quán）管理体系（xì）的作用：

 任何组织（zhī），不论（lùn）它在信息技术方面如何努力以及采纳如何新的信息（xī）安（ān）全技术，实际上在信息安全管理（lǐ）方面都还存（cún）在漏洞（dòng），例（lì）如：

· 缺少信息（xī）安（ān）全管理论坛（tán），安全导向不明（míng）确，管理支（zhī）持（chí）不明（míng）显； 

· 缺少跨部（bù）门的（de）信息安全协（xié）调机（jī）制； 

· 保护特定资产（chǎn）以及完成特定安全过（guò）程的职责还不明确； 

· 雇员信息安全意识（shí）薄弱，缺少防范意识（shí），外来人（rén）员很容易直接进入生产（chǎn）和工作（zuò）场所； 

· 组织信息系统（tǒng）管（guǎn）理（lǐ）制度不够健全； 

· 组织信息系统主（zhǔ）机房（fáng）安全存在隐患（huàn），如：防火设施存在问题，与危险品仓（cāng）库（kù）同处一（yī）幢办公楼等； 

· 组（zǔ）织信息系统备份设备（bèi）仍有欠缺； 

· 组织信息系统安全防（fáng）范技术（shù）投入（rù）欠缺； 

· 软件知（zhī）识产权保护欠缺； 

· 计算机房（fáng）、办公场所等物理防范措施欠缺； 

· 档（dàng）案（àn）、记录等缺少可靠贮存场所； 

· 缺（quē）少一旦发生（shēng）意外时的保证生产经营（yíng）连续（xù）性的措（cuò）施和（hé）计划； 

        ……等等（děng）。

为什么要建（jiàn）立（lì）和实施ISO27001信息安全管理体系认证（2）

其实，组织可以参（cān）照信息安全管理模型，按照先进的信息安全管理标准（zhǔn） BS7799 标准建（jiàn）立组（zǔ）织完整（zhěng）的信息安全管理体系并实施与保持，达到动态的、系统的、全（quán）员参（cān）与、制（zhì）度化的、以预防为主的信（xìn）息安全管理方式，用较低的成本，达到可接（jiē）受（shòu）的信息安全水平，就可（kě）以（yǐ）从根本上保证（zhèng）业务（wù）的连续性。组（zǔ）织建立、实（shí）施与保持信息安全（quán）管理体系将会产生如下作（zuò）用（yòng）：

· 强化员（yuán）工的信息（xī）安全意识，规范组（zǔ）织信息（xī）安全行为（wéi）； 

· 对（duì）组（zǔ）织的关键信息（xī）资产进行（háng）全面系统的保护，维持竞争优势； 

· 在信息（xī）系统受到侵袭（xí）时，确保业务持续开展并将损失降到较低程度； 

· 使组织的生意伙伴和客户对（duì）组织充满信心； 

· 如（rú）果通过体（tǐ）系认证，表明（míng）体系（xì）符合标准，证明组织有能力保障重（chóng）要信息，提（tí）高组织（zhī）的（de）名（míng）度与信任度（dù）； 

· 促使管理层坚持贯彻信息安全保（bǎo）障体系（xì）。 

BS7799标准概述（shù）：

· 1995 年，英（yīng）国（guó）贸工部（bù）根据英国国内企业对信息安全日益高涨的呼声，组织大企业的（de）信息安全经（jīng）理们，制定了世（shì）界上第一（yī）个信息安全管理（lǐ）体系（xì）标准 BS7799-1 ： 1995 《信息安全（quán）管（guǎn）理实（shí）施（shī）规则》，作（zuò）为工（gōng）商（shāng）业和大、中（zhōng）、小型组织实施（shī）信息安全管理的指（zhǐ）南（nán）。由于该标（biāo）准采用建议和指导方式（shì）编（biān）写，因而不宜作（zuò）为认证标准使（shǐ）用。 

· 1998 年，为了适应（yīng）第三方认证的需要，英国又制定（dìng）了第一（yī）个（gè）信息安全管理体系认证标准（zhǔn） --BS7799-2 ： 1998 《信息安全管理体系规（guī）范》，作为（wéi）对一个组织的全部或部分（fèn）信息安全管理体系进行评审认（rèn）证（zhèng）的依据标准。 

· 1999 年（nián），鉴于（yú）计（jì）算机和信息处理技术，尤其是网络和通信领域应用的迅速发（fā）展，英国又对（duì）信息（xī）安（ān）全管理体系标准（zhǔn）进行了修订。修订（dìng）后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新（xīn）修（xiū）订的 1999 版标准进一步（bù）强（qiáng）调了组织在商务（wù）工作中所涉及的信（xìn）息安全和信息安（ān）全（quán）责（zé）任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配（pèi）套标（biāo）准， BS7799-1 ： 1999 为如何建立和（hé）实施符（fú）合 BS7799-2 ： 1999 标准（zhǔn）要求的信息（xī）安全管理（lǐ）体系提供（gòng）了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经（jīng）被（bèi） ISO/IEC 正式采纳（nà）成为（wéi）国际（jì）标准 -- ISO/IEC 17799 ： 2000 《信息技术—信（xìn）息安全（quán）管理实施规（guī）则》，另外， BS7799-2 ： 1999 也（yě）即将（jiāng）于（yú） 2002 年（nián）底（dǐ）被 ISO/IEC 作为蓝本修订后成为可用于认（rèn）证（zhèng）的 ISO/IEC 的《信（xìn）息安（ān）全管理（lǐ）体系（xì）规范》。 

信息安全认证是实现信息安全目标的较佳途径：

BS7799-2：2002信（xìn）息安全（quán）管理体系规范向组织（zhī）提出了一系列认证的要求，在总则中提出（chū）组织应建立并保持一个文件化的信息安全管理体系，阐述被保护的资产、组织风险（xiǎn）管理的渠道（dào）、控制目标及控制方式和需（xū）要（yào）的保证等级；通过建立管理架构（gòu）并加以实施来达到识别（bié）控制（zhì）目标和（hé）控（kòng）制方式（shì），并形成（chéng）文件和记（jì）录。

BS7799-2：2002的（de）控制细则包括10个方面： 　

· 安全方针：为信息安全提供管理指（zhǐ）导和支持； 

· 组织（zhī）安全（quán）：建立信息安全架构，保证组织的内部管理；被第三方访问或外协时，保障组织的信息安（ān）全； 

· 资产的归类（lèi）与控制：明确资产责任，保持（chí）对组（zǔ）织（zhī）资产的适当保护；将信（xìn）息进行归类（lèi），确保信息资产受到适当程（chéng）度的保护； 

· 人员安全（quán）：在工作说明和资源方（fāng）面，减少因人为错（cuò）误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保（bǎo）用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针（zhēn）；制定安全事故或故（gù）障的反应程（chéng）序，减少（shǎo）由安全事故和故障（zhàng）造成的损（sǔn）失（shī），监控安全事件并从这种事件中（zhōng）吸取教训； 

· 实物与环境安全：确（què）定（dìng）安全区域，防止非授权访问、破坏、干扰商务场（chǎng）所和信（xìn）息；通过（guò）保障设备安全，防止（zhǐ）资产的丢（diū）失（shī）、破（pò）坏、资产危害及商务（wù）活动（dòng）的中断；采用（yòng）通用的控制方式（shì），防止信息或信息处理设施损（sǔn）坏（huài）或失窃； 

· 通信和操作方（fāng）式（shì）管理：明确操作程序及（jí）其责任，确保信息处理设施的（de）正确（què）、安全操（cāo）作；加强（qiáng）系统策（cè）划与验（yàn）收，减少系统失（shī）效风险（xiǎn）；防范恶意（yì）软件以保持软件和信息的（de）完整性；加强内务管（guǎn）理以保持信息处（chù）理和通讯服务的完整性和有效性通过 ; 加强网络管理确保网（wǎng）络中的信息安（ān）全及其辅助设（shè）施受到保护；通过保（bǎo）护媒体处理的安全 , 防止（zhǐ）资产损坏和（hé）商务活动的（de）中断；加强信息和软件的（de）交换的（de）管理，防止组（zǔ）织间在（zài）交（jiāo）换信（xìn）息（xī）时发（fā）生丢失、更改和（hé）误用； 

· 访（fǎng）问（wèn）控制（zhì）：按照（zhào）访问控制（zhì）的（de）商务要求，控制信息访问；加（jiā）强用户访问（wèn）管理，防止非授权访问信息系统；明确用户职责，防（fáng）止（zhǐ）非授权的用户访问；加（jiā）强网络访问（wèn）控制，保护（hù）网络（luò）服务程序；加强操作系统访问控制（zhì） , 防止非授权的计算（suàn）机访问（wèn）；加强应用（yòng）访问（wèn）控（kòng）制，防止非授权访问系统（tǒng）中的信息；通过监控系统的访问与使用，监测非授权（quán）行（háng）为；在移动式计算和电传（chuán）工作方面 , 确保（bǎo）使用移动式计算和电传工作设施的信（xìn）息（xī）安全； 

· 系统开发与维护：明确系统安全要求，确保（bǎo）安全性（xìng）已（yǐ）构成信息系统（tǒng）的一部（bù）份（fèn）；加强应用系统的安全，防止应用系统用户数据的丢失、被修（xiū）改或误用；加强密码技（jì）术控制，保护信息的保密性、可靠（kào）性（xìng）或完整（zhěng）性；加（jiā）强系统文件的安全，确保 IT 方案及其（qí）支持（chí）活动以安全的方式进行；加强开发和支持过程的安全，确保应用（yòng）系统（tǒng）软件（jiàn）和信息（xī）的安全； 

· 商务连续性管理：防止商务活动的中断及保护关键商务（wù）过程不受（shòu）重（chóng）大失误（wù）或灾难事故的影（yǐng）响； 

· 符合：符合法（fǎ）律法规要求，避（bì）免刑法（fǎ）、民法、有关法令法规或合同（tóng）约（yuē）定事宜及其他安全要求的规（guī）定相抵触；加（jiā）强安（ān）全方（fāng）针和技术符（fú）合性评审，确保体系按照组织（zhī）的安全方（fāng）针及标准执行；系统（tǒng）审（shěn）核考（kǎo）虑因素，使效果（guǒ）较大化 , 并使系统审核（hé）过程的（de）影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实（shí）现信息安全认证所需的各项（xiàng）措施的详细指导（dǎo），具有很强的可操作性和指导性。

归根结底，信息安全（quán）工作的目的就（jiù）是在法律（lǜ）、法规、政策的支持与指导下，通过采用（yòng）合适的安全技术（shù）与安全管理（lǐ）措施，提供安全需求的保证，而 BS7799 信息安全认证标准正是总（zǒng）和了这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信息安（ān）全的要求。

 ISO27001：2005 《信息安全管理体系要（yào）求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系（xì）要求》是关（guān）于信（xìn）息（xī）安全管（guǎn）理的标准，是标准不是方法，达到（dào）这些标准的要求并（bìng）不难，重要的（de）是用什（shí）么方法去实（shí）现。企业应将实（shí）施（shī）标（biāo）准（zhǔn）作为改善内部管理（lǐ）的一次机会，不应该将（jiāng）标准做（zuò）为（wéi）一种简单（dān）的模式（shì）对（duì）现有流（liú）程运作进行套用，应对（duì）现有的组（zǔ）织运作（zuò）流程进行详细分析，有针对（duì）性（xìng）地设计并改善现有（yǒu）管理体（tǐ）系、改善薄弱环节、改善运作流（liú）程及内部沟通（tōng），并有效地将先进的管理思（sī）想融合到具体的（de）实施（shī）程序中，才能发挥标准（zhǔn）的真正（zhèng）作（zuò）用。

获得认证（zhèng）证书不是（shì）较终目的，建立有（yǒu）责、有序、有效的信息安全管（guǎn）理体系（xì），提（tí）高员工的信（xìn）息安全意（yì）识，不断获取并（bìng）运用（yòng）先进的管（guǎn）理方法和技术（shù）手（shǒu）段才能（néng）使企业的信息安（ān）全管（guǎn）理水平得（dé）以持续的发展和提升。