信息安全 (Information security): 是指信息的保密（mì）性 (Confidentiality) 、完（wán）整性 (Integrity) 和可（kě）用性 (Availability) 的保持。

•  保密性：为保（bǎo）障信息仅（jǐn）仅为那些被授权使用的人获取（qǔ）。

 信息的保密性是针对（duì）信息被允许访问（ Access ）对（duì）象的多少而不同，所有人员都（dōu）可以（yǐ）访问的信息为公开信息，需（xū）要限制访问的信息一般为敏感信息（xī）或秘密，秘密可以（yǐ）根据（jù）信息的重要性及保（bǎo）密要（yào）求分为不同（tóng）的（de）密级，例如国家根据秘密泄露对国家经济、安全（quán）利益产生的影响（后果）不同，将国家秘（mì）密分为秘密、机密和绝密三个（gè）等级，组织（zhī）可根据其信息安全的（de）实际，在符（fú）合《国家保密（mì）法》的前提下将其信（xìn）息划分（fèn）为（wéi）不同的密级；对于具体的信息的保密（mì）性（xìng）有时效性，如秘密到期解（jiě）密（mì）等。

 •  完整性：为（wéi）保（bǎo）护信息及其处理（lǐ）方法的准（zhǔn）确性和完（wán）整（zhěng）性。

信（xìn）息（xī）完整性一方面（miàn）是指信息（xī）在利用（yòng）、传输、贮存等过程中不被篡改、丢失、缺损等，另一方面是指信息处（chù）理的方法的正确性（xìng）。不正当的操作，如误删除文件，有（yǒu）可能造成重（chóng）要文件的丢失（shī）。

 •  可用性：为保障授（shòu）权使用人在需（xū）要时（shí）可以获取信（xìn）息（xī）和使（shǐ）用相关（guān）的资（zī）产（chǎn）。

信（xìn）息的可用性是（shì）指（zhǐ）信息及相关的信息资产在（zài）授权人需要的时候，可以立即获（huò）得。例如通信线路中断故障（zhàng）会造成信（xìn）息的在一段时间内不可用，影响正常的（de）商业运（yùn）作，这是（shì）信息可用性的破坏。不同（tóng）类（lèi）型（xíng）的信息及相应资产的信息安全在保密性、完整性及可用性方面关（guān）注点不（bú）同，如组织的专有技（jì）术、市场营销计划等商（shāng）业秘（mì）密对组织（zhī）来讲保（bǎo）守机密尤其重要；而对于工业自动（dòng）控制系统，控（kòng）制信息（xī）的（de）完整性相对（duì）其保密性重要得（dé）多（duō）。

为什么需要信息安全？

信息、信息处理过程及对信息起支持作用的信息（xī）系统和信息（xī）网络都是重要的商务资产（chǎn）。信息的保密性、完整性和可用性对保持竞（jìng）争优势、资金流动（dòng）、效益、法律符合性（xìng）和商业形（xíng）象（xiàng）都是至关重要的。然而，越来越（yuè）多（duō）的组织及其信息系统和网络面临着包（bāo）括计算机诈（zhà）骗、间（jiān）谍、蓄意破（pò）坏、火（huǒ）灾、水灾等大（dà）范（fàn）围的安（ān）全威（wēi）胁，诸如（rú）计算机（jī）病毒、计算机入（rù）侵（qīn）、 Dos 攻击等（děng）手段造成（chéng）的信（xìn）息灾（zāi）难（nán）已变得更加（jiā）普遍 , 有计划而（ér）不易（yì）被察（chá）觉。组（zǔ）织对信息系统和信（xìn）息服务的依赖意味（wèi）着更易受到安全威胁的破坏（huài），公共和私人网络的互连及信息资（zī）源的共享（xiǎng）增大（dà）了实现访问控制（zhì）的难度（dù）。许多信息系统本身就不是按照安（ān）全系（xì）统的要求来设计的，所（suǒ）以仅依靠技（jì）术手段来实现信息安全（quán）有其局限（xiàn）性，所以信息（xī）安全的实现须得到管理和程序控制的适当支持。确定应采取哪些（xiē）控制方式则需要周（zhōu）密计（jì）划，并注意细节。信（xìn）息安（ān）全管理至（zhì）少需要组织中的所有雇员的参与，此（cǐ）外还需要供应商、顾客或股东的参与和信息安（ān）全的专家建议。在信息系统设计阶段（duàn）就将安全要求（qiú）和控制一体化考虑，则成本会更低、效率（lǜ）会（huì）更高。

 BS7799的信（xìn）息管理（lǐ）过程：

①确定信息安（ān）全管理方针。

②确定 ISMS( 信息安全（quán）管理体系（xì）) 的范围

③进（jìn）行（háng）风险分析（xī）。

④选（xuǎn）择控制目标（biāo）并进（jìn）行控制。

⑤建（jiàn）立业务持续计划。

⑥建立并（bìng）实施（shī）安全（quán）管理体系。

 建立信（xìn）息安全管理体系的（de）作用：

 任何组织（zhī），不论它在信息（xī）技术方面如（rú）何努力以（yǐ）及采纳如何新的信息安全技（jì）术，实际上在信息安全管理方面都还存（cún）在漏洞，例如：

· 缺（quē）少信（xìn）息安（ān）全（quán）管理论（lùn）坛，安全导向（xiàng）不明（míng）确，管理支持不（bú）明显； 

· 缺少跨部门的（de）信息安（ān）全协调机制； 

· 保护特定资（zī）产（chǎn）以及完成（chéng）特定安全过（guò）程的职（zhí）责（zé）还（hái）不（bú）明确； 

· 雇员（yuán）信息安全意识薄弱（ruò），缺少防范意识，外来人员很容易直接进入生产和工作场所； 

· 组织信（xìn）息系统管理（lǐ）制（zhì）度不（bú）够健全； 

· 组织（zhī）信（xìn）息系统（tǒng）主机房（fáng）安（ān）全存在隐（yǐn）患，如（rú）：防（fáng）火设施存（cún）在（zài）问题，与危（wēi）险品（pǐn）仓库同处一幢办公楼等（děng）； 

· 组织信息系统（tǒng）备份设备仍有欠缺； 

· 组织信息（xī）系统安全防范技术投入欠缺（quē）； 

· 软件知识（shí）产权（quán）保护欠缺； 

· 计算机房（fáng）、办公场（chǎng）所等物理防（fáng）范措施（shī）欠缺（quē）； 

· 档（dàng）案、记录等缺少可（kě）靠贮存（cún）场所； 

· 缺少一旦发生意外时的保证生产经营连续性的措施和计划（huá）； 

        ……等等。

为什么要（yào）建立和实（shí）施ISO27001信息安全管（guǎn）理体系认证（2）

其实，组织可以参照信（xìn）息安全（quán）管理模型，按照（zhào）先进的信息安全管（guǎn）理标准 BS7799 标准建立组织（zhī）完整（zhěng）的信息安全管（guǎn）理（lǐ）体系并实施（shī）与保（bǎo）持，达（dá）到动态的、系（xì）统的、全员参与、制度化的（de）、以预（yù）防（fáng）为主的信息（xī）安全管（guǎn）理方式（shì），用较（jiào）低（dī）的成本，达到可（kě）接受的（de）信息安全水（shuǐ）平（píng），就可以从（cóng）根（gēn）本上保证（zhèng）业务的连续性。组织建立（lì）、实施与保持信（xìn）息安全管理体系（xì）将会产生如下作用：

· 强化员工（gōng）的信息安全意识，规范（fàn）组（zǔ）织信息安全行为； 

· 对组织的关键信息资产进行全面系统的保护（hù），维持竞争（zhēng）优势； 

· 在信息系（xì）统受到侵袭时，确保（bǎo）业务（wù）持续开展并将损失降到较低程度； 

· 使组织的生意伙伴和客户（hù）对组织充满信心； 

· 如果通过（guò）体系认证，表明体系符合标准，证（zhèng）明组织有能力保障重（chóng）要信息，提高组织的名度（dù）与信任度； 

· 促使管理层（céng）坚持贯彻信息安（ān）全保障体（tǐ）系（xì）。 

BS7799标准概述（shù）：

· 1995 年，英国贸工（gōng）部根据英（yīng）国国内企业对信息安全日益高涨的呼（hū）声，组织（zhī）大企业的信息安全经理（lǐ）们，制定了（le）世界上第（dì）一个信息（xī）安全管理体系标准 BS7799-1 ： 1995 《信息安（ān）全管（guǎn）理（lǐ）实施规则（zé）》，作为工商业和大、中（zhōng）、小型组织实施信息（xī）安（ān）全（quán）管理（lǐ）的（de）指南。由（yóu）于（yú）该标（biāo）准采用建议和指导方式编写，因而不宜（yí）作（zuò）为认证标准（zhǔn）使用（yòng）。 

· 1998 年，为了适应第三方认证的（de）需要，英国又制定了第一个信（xìn）息安全管理体（tǐ）系（xì）认证标准 --BS7799-2 ： 1998 《信（xìn）息安全管理体系规范》，作为对一个组织的全部（bù）或部分信（xìn）息安全管（guǎn）理体系进行评（píng）审（shěn）认（rèn）证的（de）依据标（biāo）准。 

· 1999 年，鉴于计算机和信息（xī）处理（lǐ）技术，尤其（qí）是网络和（hé）通信（xìn）领域（yù）应用的迅速发展，英（yīng）国（guó）又对（duì）信息安全管理体系标准进行了（le）修（xiū）订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别（bié）取代了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准（zhǔn）进一步强调了（le）组织在商务工作中所涉及（jí）的信息安全和信（xìn）息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准（zhǔn）， BS7799-1 ： 1999 为（wéi）如何建立（lì）和实施符（fú）合 BS7799-2 ： 1999 标准要求的信息安全管理体系提供了较佳的应用（yòng）建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正（zhèng）式采（cǎi）纳（nà）成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理（lǐ）实施规则》，另外， BS7799-2 ： 1999 也（yě）即将于 2002 年底（dǐ）被（bèi） ISO/IEC 作为蓝本修订后（hòu）成为可用于认证的 ISO/IEC 的（de）《信（xìn）息安全管理体（tǐ）系（xì）规范》。 

信息安全（quán）认（rèn）证（zhèng）是实现信息（xī）安全（quán）目标的较佳（jiā）途（tú）径：

BS7799-2：2002信息（xī）安全管（guǎn）理体系规（guī）范向组（zǔ）织提出了一系列认（rèn）证的要求，在总（zǒng）则中提出组（zǔ）织应建立并保持一个文件化的信（xìn）息安全（quán）管（guǎn）理体系（xì），阐述被保护（hù）的资产、组织风险管理的（de）渠道、控制目标及控制方（fāng）式（shì）和需要的保证（zhèng）等级；通过建立管理架构并加以实施来达到识别控制目标和控制方式，并形（xíng）成文件和（hé）记录。

BS7799-2：2002的控制细则包括10个方面（miàn）： 　

· 安（ān）全方针：为信息安（ān）全提供管理指导和支（zhī）持； 

· 组织安全：建立信息安全架构，保证组织（zhī）的（de）内部管（guǎn）理；被第三方访（fǎng）问或外协时，保障组织的信息安全； 

· 资产的归类与（yǔ）控制（zhì）：明确资（zī）产责任，保（bǎo）持对组织资产的适当保护；将信息进（jìn）行归类（lèi），确保信息资产（chǎn）受（shòu）到适当程度的保护； 

· 人员安（ān）全：在工（gōng）作说（shuō）明和（hé）资源方面，减少因人为错误、盗（dào）窃、欺诈和设施（shī）误（wù）用造成的风险；加强用户培训（xùn），确保用户清（qīng）楚知道（dào）信（xìn）息（xī）安全（quán）的危险性（xìng）和（hé）相（xiàng）关事（shì）项，以便（biàn）在他们（men）的（de）日常工作中支持组织的安（ān）全方针；制定安全事故（gù）或（huò）故（gù）障（zhàng）的反应程序，减少由安全事故和故障（zhàng）造（zào）成的（de）损失，监控安（ān）全事件（jiàn）并从这种事件（jiàn）中（zhōng）吸取（qǔ）教训； 

· 实物与环境安全：确定安全区域，防止非授（shòu）权访问、破坏、干扰（rǎo）商务场所和（hé）信息；通过保障（zhàng）设备安全，防止资产的丢失、破坏、资产危害及商（shāng）务活（huó）动的中断；采用通用的控制方式，防止信息或（huò）信息处理设施损坏或失窃； 

· 通信和操作（zuò）方式管理：明确操作程序（xù）及其责任（rèn），确保信息处理设施的正确、安（ān）全操作（zuò）；加强系（xì）统策划与验收，减少系统（tǒng）失效风险；防范恶意（yì）软件（jiàn）以保（bǎo）持软（ruǎn）件和信息（xī）的完整（zhěng）性（xìng）；加强（qiáng）内务（wù）管理以保持（chí）信息处理和通讯服务的完整性和有（yǒu）效性（xìng）通过 ; 加强网络管理确保网络中的信息（xī）安全（quán）及其辅（fǔ）助设（shè）施受到保护；通过（guò）保护媒体处理的安全 , 防（fáng）止资产损坏和商务（wù）活（huó）动的中（zhōng）断；加强信息（xī）和（hé）软件的交换的管（guǎn）理，防止组织间在（zài）交（jiāo）换信息时发生丢失、更改和误用（yòng）； 

· 访问控制：按照访问（wèn）控制的商（shāng）务要求，控（kòng）制信息访问（wèn）；加强（qiáng）用户（hù）访问管理，防止非授权（quán）访问信息（xī）系统；明确用户职责，防止非授权的用户访问；加强网络访问控制（zhì），保护（hù）网络服务程序（xù）；加强操作系（xì）统访问控制 , 防止非授（shòu）权的计算机访（fǎng）问（wèn）；加强应用访问控制，防止非（fēi）授权（quán）访问系统中（zhōng）的信息；通（tōng）过监控系（xì）统的访问与使用，监测非授权行为；在移动式计算和电（diàn）传（chuán）工作方面（miàn） , 确保使用移动式计算和电传（chuán）工（gōng）作设（shè）施的（de）信息（xī）安全； 

· 系统开发（fā）与（yǔ）维护（hù）：明确系统安全（quán）要求，确保（bǎo）安全性（xìng）已构成信息系统的一部份；加强（qiáng）应用系统的安全，防止应用（yòng）系统用户数据的丢失、被修（xiū）改或误用；加强密码技术控制，保护信（xìn）息的（de）保密（mì）性、可靠性或完（wán）整性；加（jiā）强系统（tǒng）文（wén）件的安全（quán），确保 IT 方案及其支持（chí）活（huó）动以安全（quán）的方式进（jìn）行；加强开发和（hé）支持过程（chéng）的安全，确保（bǎo）应用系（xì）统软件（jiàn）和信息（xī）的安（ān）全（quán）； 

· 商（shāng）务连续（xù）性（xìng）管理（lǐ）：防（fáng）止商务活动（dòng）的中断及保护关键商务（wù）过（guò）程不受重大失误或灾难事故的影响； 

· 符合：符（fú）合法律（lǜ）法规要求，避免刑法、民法、有关法令法规或合同约定事宜及其他安（ān）全（quán）要求（qiú）的规定相（xiàng）抵触（chù）；加（jiā）强安全方针和（hé）技术符（fú）合性（xìng）评（píng）审，确保体系按照组织（zhī）的安（ān）全方针及标（biāo）准执行（háng）；系统（tǒng）审核考虑因素，使效果较大化 , 并使系统（tǒng）审核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信（xìn）息安全认证所需的各项措施的详细指导，具有很强的可操作性和指导性。

归根结（jié）底，信息安全工作的目的就（jiù）是在法律、法规、政策的支持与指导下，通（tōng）过采用合适的（de）安全技术与安（ān）全管理措施，提供安全需求的保证，而 BS7799 信息安全认证标准（zhǔn）正是（shì）总和了这些要求。组（zǔ）织可以（yǐ）根据自身（shēn）特点，在（zài） ISO/IEC 17799 指导下，实现（xiàn）信息安全的要求。

 ISO27001：2005 《信息安全管理体（tǐ）系（xì）要求》

 ISO27001 ： 2005 《信息（xī）安全管理体系要（yào）求》是关于信（xìn）息安全管理的标（biāo）准，是标准不是（shì）方法，达到（dào）这些（xiē）标准的要求并不难，重要的是（shì）用什么方法去实现（xiàn）。企业应将实施（shī）标准作为改（gǎi）善内部管理的一次（cì）机会（huì），不应该将标准做为一种简单的模（mó）式对现有流（liú）程运作进行套用，应对现（xiàn）有的组（zǔ）织运作流（liú）程进行详细分析，有针对性地设计并改善现有管（guǎn）理体系、改善薄弱环节、改善（shàn）运作流（liú）程（chéng）及内部沟通，并有效地将先进的管理思想融合到具体的（de）实施程序中，才能发挥标准的真正（zhèng）作用。

获（huò）得认证证书不（bú）是（shì）较（jiào）终目的，建立有责、有序（xù）、有效的信息安全管理体系，提高员工的信息安全（quán）意识，不断获取并运用先进的管理方法和技术（shù）手（shǒu）段才能使企业的信息（xī）安（ān）全管理（lǐ）水平得以持（chí）续（xù）的发展（zhǎn）和提升。