信息安全 (Information security): 是指（zhǐ）信息的保密（mì）性 (Confidentiality) 、完整（zhěng）性 (Integrity) 和（hé）可用（yòng）性（xìng） (Availability) 的保持（chí）。

•  保密性：为保障信（xìn）息仅仅为那些被授权使用的人（rén）获取（qǔ）。

 信息（xī）的保密（mì）性是（shì）针（zhēn）对信息被允许访问（ Access ）对（duì）象的多少而不（bú）同，所有（yǒu）人员都可以访问的（de）信息（xī）为公开信息（xī），需要限制访问的信息一般为敏（mǐn）感信息或秘密，秘密可以根据信（xìn）息的重（chóng）要性及保密（mì）要（yào）求分为不同的密级（jí），例（lì）如国家根据（jù）秘密泄露对国家经（jīng）济、安全（quán）利益产生的影响（后果（guǒ））不同，将国家秘（mì）密分为秘密、机密和绝密（mì）三个等级，组织可根据（jù）其信息安全的实（shí）际，在符合（hé）《国家（jiā）保密法》的前提下将其（qí）信息（xī）划分为不同的密级；对于具体的信息的保密性有时（shí）效性，如秘密到期解密等。

 •  完整性：为保（bǎo）护信息及（jí）其处理方法（fǎ）的准确（què）性和完整性。

信息完整性一方面是指信息在利用、传（chuán）输（shū）、贮存等过程（chéng）中不被篡（cuàn）改、丢失、缺损等，另（lìng）一方面（miàn）是（shì）指信息处理的方法的正（zhèng）确性。不正（zhèng）当的操作（zuò），如（rú）误删（shān）除文件，有（yǒu）可能造成重要文件的（de）丢失。

 •  可用性：为保障（zhàng）授（shòu）权使用人在（zài）需要时可以获取信（xìn）息和使用相关的资产。

信息（xī）的可用性是指信息（xī）及相关的（de）信息资产在授权人（rén）需要的时候，可以立即获（huò）得。例如通信线路中断故障会造成信息（xī）的在一（yī）段时间内不可用，影（yǐng）响正常的商业（yè）运作，这（zhè）是（shì）信息可用性的破坏。不同（tóng）类型的信息及相应资产的信（xìn）息安全（quán）在保密性、完整性及可用性方面关注点不同，如组织的专（zhuān）有技术、市（shì）场营（yíng）销（xiāo）计划（huá）等商（shāng）业秘密对（duì）组织来讲（jiǎng）保守机密尤其重（chóng）要；而（ér）对（duì）于工业自（zì）动控制（zhì）系统，控制信（xìn）息的完整（zhěng）性相对其保密（mì）性重要（yào）得多（duō）。

为什（shí）么需（xū）要信息安（ān）全？

信息、信息处理过程及对信息起支持作用的（de）信息（xī）系统和（hé）信息网（wǎng）络都是重要的商务资产。信息（xī）的保密性、完（wán）整性和可（kě）用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而（ér），越来越多的组（zǔ）织及其（qí）信息系统（tǒng）和网络面临着包括计（jì）算机诈骗、间谍、蓄（xù）意破坏、火灾、水灾等大范围（wéi）的安全威胁，诸如计（jì）算机病毒、计算（suàn）机（jī）入侵、 Dos 攻（gōng）击等手段造成的信息灾难已变（biàn）得更加（jiā）普遍 , 有（yǒu）计划（huá）而不易被察（chá）觉（jiào）。组织对信（xìn）息系统（tǒng）和信息服务的依赖意味着更易受到安全威胁（xié）的破坏（huài），公共（gòng）和私人网络的互（hù）连及信息资源的共享增大（dà）了实现访问控制（zhì）的（de）难度。许多信（xìn）息系统本身（shēn）就不是按照（zhào）安全系统（tǒng）的（de）要求（qiú）来设计（jì）的，所以仅依靠技术手段来实现信息安全有其局（jú）限性，所以信（xìn）息安全（quán）的实现须得到管（guǎn）理和程序控制的适当（dāng）支（zhī）持。确定应采取哪（nǎ）些控制方式则需要周（zhōu）密计划，并（bìng）注意细（xì）节。信（xìn）息（xī）安全管理至少需要组织中（zhōng）的所（suǒ）有（yǒu）雇员（yuán）的（de）参与，此外还需要供应（yīng）商、顾客或股东的参与和信（xìn）息安全的专家建议。在信息系统设（shè）计（jì）阶段就（jiù）将安全（quán）要求（qiú）和控制一（yī）体化（huà）考虑，则成本会更（gèng）低、效率会更高。

 BS7799的（de）信息管理过程：

①确定（dìng）信（xìn）息安全管理（lǐ）方（fāng）针。

②确定（dìng） ISMS( 信息安全管理体（tǐ）系) 的范围

③进行（háng）风险分析。

④选择控制目标并进行控制。

⑤建（jiàn）立业务持续计划。

⑥建立并实施安全管（guǎn）理体系。

 建立信息安全（quán）管理体系的作用（yòng）：

 任何组织（zhī），不论它（tā）在信息技术方面如（rú）何努力以及采纳如（rú）何（hé）新（xīn）的信息安全技术，实（shí）际（jì）上在信息安全管理方（fāng）面都还存在（zài）漏（lòu）洞，例如：

· 缺少信息（xī）安全管（guǎn）理论（lùn）坛（tán），安全导向（xiàng）不明确，管理支持不明显； 

· 缺少跨部门（mén）的信息安（ān）全协调（diào）机制； 

· 保（bǎo）护特定资产以及完成特定安全过程的（de）职（zhí）责还不明确； 

· 雇（gù）员信息安全意（yì）识薄弱，缺（quē）少防范意识（shí），外（wài）来人员很容易直接进入生产和工作场所； 

· 组织信息系统管理制度不够健（jiàn）全； 

· 组织信息系统（tǒng）主机房安全存在隐患（huàn），如：防火设施存在（zài）问题，与危险品仓库同处（chù）一幢办公楼等； 

· 组织信息系统备（bèi）份设备仍有（yǒu）欠缺； 

· 组织信（xìn）息（xī）系统安全防范技术投入欠（qiàn）缺（quē）； 

· 软件知识产权保（bǎo）护欠缺； 

· 计算机（jī）房、办公场所等物（wù）理防（fáng）范措施欠缺； 

· 档案、记录等缺少可靠贮存场（chǎng）所； 

· 缺少一旦发生意外时的保（bǎo）证（zhèng）生（shēng）产经营（yíng）连续性的措施（shī）和计划； 

        ……等等。

为什么要建立和实施ISO27001信息安全管（guǎn）理体系认证（zhèng）（2）

其（qí）实，组织可（kě）以参照（zhào）信息安全管理模型，按（àn）照（zhào）先进的信息安全管理标准（zhǔn） BS7799 标（biāo）准建立组织（zhī）完整（zhěng）的信息安（ān）全管理体系并实施与保持，达到动态的、系统（tǒng）的（de）、全员参与、制度化（huà）的、以预防为主的信息安全管理（lǐ）方式，用较低的成本，达到可接受（shòu）的信息安全水平，就可以从（cóng）根本上（shàng）保证业务（wù）的连续性。组织建立、实施与保持（chí）信息安（ān）全管理体系将会产生（shēng）如下作用：

· 强化员工的信息（xī）安（ān）全意识，规范组织信息安全行为； 

· 对组织的关（guān）键（jiàn）信息资（zī）产进行全面系统的保（bǎo）护（hù），维持竞争优势； 

· 在信（xìn）息系统受到侵袭（xí）时，确保业务持续（xù）开展并将（jiāng）损失降（jiàng）到较低（dī）程度； 

· 使组织的生意伙伴和客户对组织充满信心； 

· 如果通过体系认证（zhèng），表明体系符合标准，证明组织有能力保障重（chóng）要信息，提高组织的（de）名度与信任度； 

· 促使管理层坚持（chí）贯彻信（xìn）息安（ān）全保障体（tǐ）系（xì）。 

BS7799标准（zhǔn）概述：

· 1995 年，英国贸工部根据英（yīng）国（guó）国内企业对信息安全日（rì）益高涨的呼声，组织大企业的（de）信息（xī）安全经（jīng）理们，制定了世界上第一个（gè）信息安全管（guǎn）理体系标准 BS7799-1 ： 1995 《信息安全管理实施（shī）规则（zé）》，作为工商业和大、中、小型（xíng）组织实施信息安全管（guǎn）理的指南（nán）。由于该标准采用建（jiàn）议和指导方式编写，因（yīn）而不宜（yí）作（zuò）为认证标准使用。 

· 1998 年，为了适（shì）应第三（sān）方（fāng）认证的需要，英国又制定了第一个（gè）信（xìn）息安（ān）全管理体系认（rèn）证标（biāo）准 --BS7799-2 ： 1998 《信息（xī）安全管（guǎn）理体系规范（fàn）》，作为对一个（gè）组织的全（quán）部或部分信息安全管理体系进行（háng）评（píng）审认证的依（yī）据（jù）标准。 

· 1999 年，鉴（jiàn）于计算机和信息处理技（jì）术（shù），尤其（qí）是网络（luò）和通信（xìn）领域应用的迅速（sù）发展，英国又对信息安全（quán）管（guǎn）理（lǐ）体系标准进（jìn）行了修订。修订后（hòu）的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调了组织（zhī）在商（shāng）务工作中所涉及的信息（xī）安全和（hé）信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为（wéi）如何建立和（hé）实（shí）施（shī）符合（hé） BS7799-2 ： 1999 标（biāo）准要求的信（xìn）息（xī）安全管理体系（xì）提供了较佳的应用（yòng）建（jiàn）议。 

· 2000 年 12 月（yuè）， BS7799-1 ： 1999 已经被 ISO/IEC 正（zhèng）式（shì）采（cǎi）纳成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全（quán）管理（lǐ）实（shí）施规则（zé）》，另外， BS7799-2 ： 1999 也即将（jiāng）于 2002 年底被 ISO/IEC 作为蓝本修（xiū）订后成为（wéi）可用于认证的 ISO/IEC 的《信息安全管理体系规范》。 

信息（xī）安全认证（zhèng）是实现（xiàn）信息安（ān）全（quán）目标的较佳途径：

BS7799-2：2002信息（xī）安全管理体系规范向（xiàng）组织（zhī）提出了（le）一（yī）系（xì）列认（rèn）证的要求，在总则中提出（chū）组（zǔ）织应建立并（bìng）保（bǎo）持一个文件化的信息安（ān）全管理体（tǐ）系，阐述被保护的（de）资（zī）产、组织风险管理的渠道、控制目（mù）标（biāo）及（jí）控制方式和需（xū）要的保证等级；通过（guò）建立管理架（jià）构并加（jiā）以实施（shī）来达（dá）到识别控制（zhì）目标和控（kòng）制方（fāng）式（shì），并形成文件和记录。

BS7799-2：2002的控制（zhì）细则包括10个方面（miàn）： 　

· 安全方针：为（wéi）信息安（ān）全提供管理指导和支（zhī）持； 

· 组织安全：建立信息安全架构，保证组（zǔ）织的内部管理；被第三方（fāng）访问（wèn）或外协时，保障组织（zhī）的信息安全； 

· 资产（chǎn）的归类与控制：明确资产责（zé）任，保（bǎo）持（chí）对组织资产的适当保护；将（jiāng）信息（xī）进行归类，确保信息资产受到适当程度的保护； 

· 人员安全：在工作说（shuō）明和资源方面，减（jiǎn）少因人为错误、盗窃（qiè）、欺诈（zhà）和设施误用造成的风（fēng）险；加强用（yòng）户培训，确保（bǎo）用户清楚知道信息安全（quán）的（de）危险性和相关事项（xiàng），以便在他们的日常（cháng）工作中支（zhī）持组织的安全方针；制定安全事（shì）故或（huò）故障（zhàng）的反应程序，减少由安全事故（gù）和故障造成的损失，监控安全事件并从这种事（shì）件中吸取（qǔ）教训； 

· 实物与环境安全：确定（dìng）安全区域，防止（zhǐ）非授权（quán）访（fǎng）问、破坏、干扰商务（wù）场所和信（xìn）息；通（tōng）过（guò）保障设备安全，防（fáng）止资产的丢失、破坏、资产危（wēi）害及（jí）商务活动的中断；采用（yòng）通用的控制方式，防止信（xìn）息（xī）或信息处理设施损坏或失窃； 

· 通信和操（cāo）作（zuò）方式（shì）管理：明确操作程序及其责任，确保（bǎo）信息处（chù）理设施的（de）正确、安全操作；加强系（xì）统（tǒng）策（cè）划（huá）与验（yàn）收，减（jiǎn）少系（xì）统失效风（fēng）险；防范恶意软件（jiàn）以保持软（ruǎn）件和信息的完整性；加强内务（wù）管理（lǐ）以保持（chí）信息处理和通讯服（fú）务的完整性和有效性通（tōng）过 ; 加强网络管理确保（bǎo）网络中的信息安全及其（qí）辅助设施受到保（bǎo）护；通过保（bǎo）护媒体（tǐ）处（chù）理（lǐ）的安全（quán） , 防（fáng）止资产损坏和（hé）商务活（huó）动的中断；加强信息和软件的交换的管（guǎn）理，防止组织间在交（jiāo）换信息时（shí）发生丢（diū）失（shī）、更改和误用（yòng）； 

· 访（fǎng）问控制（zhì）：按（àn）照访问控制的商务（wù）要求（qiú），控制信息访（fǎng）问（wèn）；加（jiā）强用户访（fǎng）问管理，防止非授权访问信（xìn）息系统（tǒng）；明确（què）用（yòng）户职（zhí）责，防止非授权的用户访问（wèn）；加（jiā）强（qiáng）网络访问控制，保护（hù）网（wǎng）络服务程序；加（jiā）强操作系统访问控制 , 防止非授权的（de）计算（suàn）机访问；加强应（yīng）用访（fǎng）问控制，防止非授权访（fǎng）问系统中的信（xìn）息；通过监控（kòng）系统（tǒng）的访问与使用（yòng），监测非授权行为；在（zài）移动（dòng）式计（jì）算和电传（chuán）工作方面 , 确保使用移动（dòng）式计算和电传工（gōng）作设（shè）施的信息安全； 

· 系统开发与维（wéi）护：明确系（xì）统安全（quán）要求，确保安全性已（yǐ）构成信息系统的（de）一部份；加强应用系统的安全，防止应用系统（tǒng）用户数据的丢失、被修（xiū）改或误用；加强密码技术控（kòng）制，保护信息的保密性、可靠性或完（wán）整性（xìng）；加强系统文件（jiàn）的安全，确保 IT 方案及其支持活动以安全的方（fāng）式进行；加强（qiáng）开发和支持（chí）过程的安全，确保应（yīng）用系统软（ruǎn）件（jiàn）和（hé）信息的安全； 

· 商务连续性管理：防止（zhǐ）商务活动的中断及保护（hù）关（guān）键商务过程不受重大（dà）失误或（huò）灾难事故的影响； 

· 符合：符合（hé）法律法规要求，避免刑法、民法、有（yǒu）关法令法规或合（hé）同约定（dìng）事（shì）宜（yí）及其他安全要求（qiú）的规定相抵触；加强安全方针（zhēn）和技术符（fú）合性评审，确保体系按照组织的安全方（fāng）针及标准执行（háng）；系统审核（hé）考虑因素，使效果较（jiào）大（dà）化 , 并使系统（tǒng）审核过程的影（yǐng）响较小化。 　 

在国际标（biāo）准 ISO/IEC17799 给出了为实现信息安全认（rèn）证所（suǒ）需的各项措施（shī）的详细指导，具有很强（qiáng）的可（kě）操作性和（hé）指导（dǎo）性。

归根结底，信（xìn）息安全（quán）工作的目的就（jiù）是（shì）在法律、法规、政策的（de）支持与指导下（xià），通过采用合适的安全技术与安全管（guǎn）理措施，提供（gòng）安全（quán）需（xū）求（qiú）的保证，而 BS7799 信息安全认证（zhèng）标（biāo）准正是总和了这些要求。组织（zhī）可（kě）以根据自身特点，在 ISO/IEC 17799 指导下（xià），实现（xiàn）信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全管理（lǐ）体系要求》是关于信息安全管理的标准，是标准不是（shì）方法，达到这（zhè）些标准的要求并不难，重（chóng）要（yào）的（de）是用什么方法（fǎ）去实现。企业（yè）应将（jiāng）实（shí）施（shī）标（biāo）准作为改善内部管理的一次（cì）机会，不（bú）应该将（jiāng）标准做（zuò）为一（yī）种（zhǒng）简（jiǎn）单的模式对（duì）现有流（liú）程运作（zuò）进行套（tào）用，应（yīng）对现有的（de）组织运作流程进（jìn）行详细分析，有针（zhēn）对性地设计并改（gǎi）善（shàn）现有管理体系、改善薄（báo）弱环节、改善运（yùn）作（zuò）流程及内部沟通，并有（yǒu）效地将（jiāng）先进的管理思想融合到具体的实施程序（xù）中，才能发挥（huī）标准的真正作用。

获得（dé）认证证书（shū）不（bú）是较终（zhōng）目的，建立（lì）有责、有序、有效（xiào）的信息安全管理（lǐ）体系，提高员工的信息安全意识，不断获（huò）取并运用（yòng）先进的管理方法和技（jì）术手段才能（néng）使企业的信息安（ān）全管理水（shuǐ）平（píng）得以持续（xù）的发展（zhǎn）和提（tí）升。