信息安全 (Information security): 是（shì）指信息的保密性 (Confidentiality) 、完整性（xìng） (Integrity) 和可（kě）用（yòng）性 (Availability) 的（de）保（bǎo）持（chí）。

•  保密性：为保（bǎo）障信息仅仅（jǐn）为那些被（bèi）授权使用的人获取。

 信息（xī）的（de）保密性是针（zhēn）对（duì）信息被允（yǔn）许访问（ Access ）对象（xiàng）的多少而不同，所有人（rén）员都可以访问的信息为公开信息，需要限（xiàn）制访问的信息一般（bān）为敏感（gǎn）信息或秘密，秘密可（kě）以根据信息的重要性及保（bǎo）密要求分为不同的（de）密级，例（lì）如国家根据秘密泄露对国家经（jīng）济、安全利（lì）益产生的影响（后果）不同，将国家（jiā）秘密分为秘密、机密（mì）和（hé）绝密三个（gè）等级，组织可根据其（qí）信息安全的实际，在符合《国家保密法》的前（qián）提下将（jiāng）其信息划分为不同的密级；对（duì）于（yú）具体的信息（xī）的保密性有时（shí）效性，如秘密到期解密（mì）等。

 •  完整性：为保护信息及其处理方法的准确性（xìng）和完（wán）整性。

信息完整性一方面是指信息在（zài）利用、传输、贮存等过程中不被篡改、丢失（shī）、缺损等，另一方面（miàn）是（shì）指（zhǐ）信（xìn）息（xī）处理的方法的正确性。不（bú）正当的操作，如误删除文件，有可能造成重（chóng）要文件的丢失。

 •  可用（yòng）性：为保障授权使用人在需（xū）要时可以获取信息（xī）和（hé）使用相关的资（zī）产。

信息的可用性是（shì）指信息及（jí）相关的信息（xī）资（zī）产在授权人需要的时候，可以立即（jí）获得。例如通（tōng）信线路中断故障（zhàng）会造成（chéng）信（xìn）息的在一段时间（jiān）内不可用，影（yǐng）响正常的（de）商业运作，这是信息可用性的破坏。不（bú）同类型的信息及相应资（zī）产（chǎn）的（de）信息安全在保密（mì）性（xìng）、完整（zhěng）性及可用性方（fāng）面（miàn）关注点不同，如组织的专有技术、市（shì）场营（yíng）销计划等商业秘密对组织来讲保守机密尤其重要；而（ér）对于（yú）工业自动控（kòng）制系统（tǒng），控制信息的完整（zhěng）性（xìng）相（xiàng）对其保密性重要得（dé）多。

为什么需（xū）要（yào）信息安全？

信息、信（xìn）息处理过程及（jí）对信息起支持作用（yòng）的信息系（xì）统和信息（xī）网络（luò）都是重要的（de）商务（wù）资产。信息的保密性（xìng）、完整（zhěng）性和可用性对保持竞争（zhēng）优势（shì）、资金流（liú）动、效益、法律符合性（xìng）和商业形（xíng）象都是（shì）至关重要的。然而，越来越（yuè）多的组织及其信息（xī）系（xì）统和网络面临着包括计算机诈骗、间谍、蓄意破（pò）坏（huài）、火（huǒ）灾、水灾等大范围的安全威胁，诸如（rú）计算机（jī）病毒（dú）、计算（suàn）机入侵、 Dos 攻击等手段造成（chéng）的信息（xī）灾（zāi）难已变得更加普遍 , 有计划而不易被察觉。组织对信（xìn）息（xī）系统和信息服（fú）务（wù）的依赖意（yì）味着（zhe）更易受到安全威胁的破坏，公共和私人网络的互连及信息（xī）资源的共享（xiǎng）增大了（le）实现（xiàn）访问控制（zhì）的难度。许多信息系统（tǒng）本身就不是按（àn）照安全系统（tǒng）的要求来设（shè）计的，所以仅依（yī）靠技（jì）术手段来（lái）实现信（xìn）息安全有其（qí）局（jú）限性，所以信息安全的实现须得到管理和程序控（kòng）制的适当支持（chí）。确定应采取哪些控制方式则需要周密计划，并（bìng）注意细节（jiē）。信息安（ān）全管理至少需（xū）要组织中的所有雇员的参与，此外还需要供应（yīng）商（shāng）、顾客或股（gǔ）东的（de）参与和信息安（ān）全的（de）专家（jiā）建议。在（zài）信息系统设计阶段就将安全要求和控制一体（tǐ）化考虑，则成本（běn）会更低、效率会更高。

 BS7799的信息管（guǎn）理过程：

①确定（dìng）信息安全管理方针。

②确定 ISMS( 信息安全管理体系) 的范（fàn）围

③进行风险分（fèn）析。

④选择控制目标并进行（háng）控制。

⑤建立业务持续（xù）计划。

⑥建立（lì）并实施（shī）安全管理体系（xì）。

 建立信息（xī）安全管理（lǐ）体（tǐ）系的作用：

 任何组织，不论它在信息技术方面如何努力以及采纳如（rú）何新（xīn）的（de）信息安全（quán）技术，实际上在信息（xī）安全管理方面（miàn）都还（hái）存在漏洞，例如：

· 缺少信息安全管理（lǐ）论（lùn）坛，安全导向不（bú）明确，管理支持不明（míng）显； 

· 缺少跨部门的（de）信息安全协调机制； 

· 保护特定资产以（yǐ）及完成特定安全过程的职责还不明（míng）确（què）； 

· 雇员信（xìn）息安（ān）全意识薄弱，缺少防（fáng）范意识，外来（lái）人员很容易直接进入生产和工（gōng）作场所； 

· 组（zǔ）织信息系统管理制度不够健全； 

· 组织信息系统主机房安全存在（zài）隐患（huàn），如（rú）：防火设施存在问题（tí），与危险（xiǎn）品仓库同（tóng）处一幢办公楼等； 

· 组织信息系（xì）统备（bèi）份（fèn）设备仍有欠缺； 

· 组织信息系（xì）统安全防（fáng）范技术投入（rù）欠缺； 

· 软件（jiàn）知识产权保护欠（qiàn）缺； 

· 计（jì）算机房、办（bàn）公场所等物理防范措施欠（qiàn）缺； 

· 档案、记录等（děng）缺少可靠贮存场所； 

· 缺（quē）少一旦发生意外（wài）时的保证（zhèng）生产经营连（lián）续（xù）性的（de）措施和计（jì）划； 

        ……等等。

为什么（me）要建立和实施ISO27001信息安（ān）全管理体（tǐ）系认证（2）

其实（shí），组织可以参照信息（xī）安全（quán）管理模型，按照先进的（de）信（xìn）息安（ān）全（quán）管理标准 BS7799 标准建立组织（zhī）完整的（de）信息（xī）安（ān）全（quán）管（guǎn）理（lǐ）体系并实施与保（bǎo）持，达到动态的、系统（tǒng）的、全员参与、制度化的、以预防（fáng）为主的（de）信息安全管理（lǐ）方式，用较低的（de）成本，达（dá）到可接受的信息安（ān）全水平，就可以从根（gēn）本上保证业务的连续性。组织建立、实施与保持信息安全管（guǎn）理（lǐ）体系将会产生如下作用：

· 强化员工的信息安全意识，规范组织信息安（ān）全（quán）行为（wéi）； 

· 对组织的（de）关键信息资产进行（háng）全面系统（tǒng）的保护（hù），维持竞争优势； 

· 在信息系统受（shòu）到侵袭时，确保业务持续开展并将损失降到较低程度； 

· 使（shǐ）组织的生意伙伴和（hé）客户对组（zǔ）织充满信心； 

· 如果通过体（tǐ）系认证，表明体系符合标（biāo）准，证明组织（zhī）有能力保障重要信息（xī），提高组织（zhī）的名度与信任度； 

· 促使管（guǎn）理层坚持贯（guàn）彻信息安（ān）全保障体系。 

BS7799标准（zhǔn）概述：

· 1995 年，英（yīng）国贸工部根据英国国内企（qǐ）业对信息安全日益高涨的（de）呼声，组织大企业的（de）信息安（ān）全经理们，制定了世界上（shàng）第（dì）一个信息（xī）安全管理（lǐ）体系标（biāo）准（zhǔn） BS7799-1 ： 1995 《信息（xī）安全管理实施规（guī）则》，作为工商业和（hé）大、中、小型组（zǔ）织实施信息安全管理的（de）指南。由（yóu）于该标准采用（yòng）建议和指导方式编写，因而不宜作为认证标（biāo）准（zhǔn）使用。 

· 1998 年，为了适应第（dì）三（sān）方认（rèn）证的需要，英国又制（zhì）定了第一个信息安全管理体系认证标准 --BS7799-2 ： 1998 《信息（xī）安全管（guǎn）理（lǐ）体系（xì）规（guī）范》，作（zuò）为对一个组织的全部或（huò）部分信息安（ān）全管理体系进行评审认证的依据标（biāo）准。 

· 1999 年，鉴（jiàn）于计（jì）算机和信息处（chù）理技术，尤其是网络和通信领域应用（yòng）的（de）迅速（sù）发展，英国又（yòu）对信息安全管理体系标准进行了修订。修订后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别（bié）取代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新（xīn）修订的 1999 版标（biāo）准进（jìn）一步（bù）强调了组织在商（shāng）务工（gōng）作中所涉及的（de）信息安全和信息安全责（zé）任（rèn）。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一（yī）对配套标（biāo）准， BS7799-1 ： 1999 为如何建立（lì）和实施符合（hé） BS7799-2 ： 1999 标准（zhǔn）要求（qiú）的信息安（ān）全管理体（tǐ）系提供了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息（xī）技术—信息安全管理（lǐ）实施规（guī）则》，另外， BS7799-2 ： 1999 也即将于 2002 年底（dǐ）被（bèi） ISO/IEC 作（zuò）为（wéi）蓝本修订后成为（wéi）可用于认（rèn）证的 ISO/IEC 的《信（xìn）息安全（quán）管理（lǐ）体系规范（fàn）》。 

信息安全认证是实（shí）现信息安全目标的（de）较佳途径：

BS7799-2：2002信息安全管理（lǐ）体（tǐ）系规范（fàn）向组（zǔ）织提出了一（yī）系列认证的要求（qiú），在总则中提出组织（zhī）应建立（lì）并保（bǎo）持一（yī）个文件化的信息安全管理体系，阐述被（bèi）保护的资产、组（zǔ）织风险管（guǎn）理（lǐ）的渠道、控制目标及控制（zhì）方式和需要的（de）保证等级；通过建（jiàn）立管理架构并加以（yǐ）实施来达到识别控制目标和（hé）控（kòng）制方式，并形成文件和（hé）记录。

BS7799-2：2002的（de）控制（zhì）细则包括10个（gè）方面： 　

· 安全方（fāng）针：为（wéi）信息安全（quán）提供（gòng）管理指导和支（zhī）持； 

· 组织安全：建立信息安全架构（gòu），保证组织的内部管理；被第三方访问或外协时，保障组织的信息安全； 

· 资产的归类与控制：明确资产责任，保持对（duì）组织资产的适（shì）当保护；将（jiāng）信息（xī）进行（háng）归类，确保信息资产受到适当程度（dù）的保护（hù）； 

· 人（rén）员安全：在工作（zuò）说（shuō）明和资源（yuán）方面，减少因人为错误、盗窃、欺诈和设（shè）施误用（yòng）造成的风（fēng）险；加强用户培训，确（què）保（bǎo）用户清楚知道（dào）信息安全的危险性（xìng）和相关事项，以便在他们的日常工作（zuò）中（zhōng）支（zhī）持组织的安（ān）全方针；制定（dìng）安全事（shì）故（gù）或故障的反应程序，减少由安全事故和故（gù）障造（zào）成的（de）损（sǔn）失，监（jiān）控安全事件并从这种事件中吸取教训； 

· 实物与环境安全：确定安全区域，防（fáng）止非授权访问、破坏、干扰商务场所和信息；通（tōng）过保障设备安全，防止资产的丢失、破（pò）坏、资产危害及商务活动的（de）中断（duàn）；采用通用（yòng）的控制方式，防止信（xìn）息或信息（xī）处理设施损坏或失窃； 

· 通信和操作方式管理：明（míng）确操作程序（xù）及其责任，确（què）保信息处理（lǐ）设施的（de）正确、安（ān）全操作；加强系统策（cè）划与（yǔ）验收，减少系统失效风（fēng）险（xiǎn）；防范恶意（yì）软件以（yǐ）保持软件和（hé）信息的完整性；加强内务（wù）管理以保持信息（xī）处理和通讯服务的完整性和有效性通过（guò） ; 加强网络管理确（què）保网络中的信息（xī）安全及其辅助设施受到保护；通过（guò）保（bǎo）护媒体处理（lǐ）的安全（quán） , 防止（zhǐ）资产损坏和商务（wù）活动（dòng）的中断；加强信息（xī）和软件的（de）交（jiāo）换的管理（lǐ），防止组织间在交换信息时（shí）发生丢失、更改和误用； 

· 访问控（kòng）制：按照访问控制的商务要求，控（kòng）制信（xìn）息（xī）访问（wèn）；加强用户访问（wèn）管（guǎn）理，防（fáng）止非授权访问信息系统；明确用户职责，防止非授权的（de）用户访问；加强网络访（fǎng）问控制，保护网（wǎng）络服务程（chéng）序；加强操（cāo）作（zuò）系统访问控制 , 防止非授权的计算机（jī）访问；加强应用（yòng）访问控制（zhì），防止非授权访问系（xì）统中的信息；通过监控（kòng）系（xì）统的访（fǎng）问（wèn）与使用，监测非授权行为（wéi）；在移动式计（jì）算和电传工（gōng）作方面 , 确保使用移动（dòng）式计算和电传工（gōng）作设施的信息安全； 

· 系统开发与维护：明（míng）确系（xì）统（tǒng）安全要求，确保安全（quán）性已构成信息系统（tǒng）的一部份（fèn）；加强应用系统的安（ān）全，防止应用系统用户（hù）数据的丢失、被（bèi）修改（gǎi）或误（wù）用；加强密（mì）码技术控制，保（bǎo）护信息的保密性、可靠（kào）性或完整性；加（jiā）强系统文件的安全，确（què）保 IT 方案及其支持活动以安全的方式进行；加强开发和（hé）支持过（guò）程的（de）安全，确保（bǎo）应用（yòng）系统软件和信息的安（ān）全； 

· 商务连续性管理（lǐ）：防止商务活（huó）动的中断及保护关键商（shāng）务过程不受重大失误（wù）或灾难事故的影响； 

· 符（fú）合：符合（hé）法（fǎ）律（lǜ）法规要求，避免刑法、民法、有关法令法规或合（hé）同约定事宜及（jí）其他（tā）安（ān）全要求（qiú）的规（guī）定相抵触；加强安全方（fāng）针和技术符合性评审，确保体系按照（zhào）组织的安全方针及标准执行；系统审核考（kǎo）虑因素，使效果较大化 , 并使系统审核过程（chéng）的影响较小化。 　 

在（zài）国际标准 ISO/IEC17799 给出了（le）为实现信息安全认证所需的各项措施的详细（xì）指导，具有很强（qiáng）的可操（cāo）作性和（hé）指导性。

归根结底，信息安全工作的目的就是在法律（lǜ）、法规、政策的支持（chí）与指导下，通过（guò）采用合适的安（ān）全技（jì）术与安全管理措施，提供安全需求的保（bǎo）证，而 BS7799 信息安（ān）全认证标准正是总（zǒng）和了这些（xiē）要求。组织可以根据自身特点（diǎn），在 ISO/IEC 17799 指（zhǐ）导下，实现信（xìn）息安全（quán）的（de）要求。

 ISO27001：2005 《信息安（ān）全管理（lǐ）体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求（qiú）》是（shì）关于信息安（ān）全管（guǎn）理的标准（zhǔn），是标（biāo）准不是（shì）方法（fǎ），达到这些标准的要求并不难，重要的是用什么方法去实现。企业（yè）应（yīng）将实施标准作为（wéi）改善内部管理的（de）一次机会，不应该将标准做为一种简单的（de）模式（shì）对现有流程运作进行套用（yòng），应对现有的组织运作（zuò）流程进行详（xiáng）细分析，有针对性（xìng）地设（shè）计并（bìng）改（gǎi）善（shàn）现有管理（lǐ）体系（xì）、改善薄弱环节、改善运作流程及内部沟通，并有效地将先进的管理思想融（róng）合到具体的（de）实施程序中，才能发挥标准的真（zhēn）正（zhèng）作用。

获得认证证书不是较终（zhōng）目的，建立有责、有序、有效的（de）信（xìn）息安全管（guǎn）理（lǐ）体系，提（tí）高员（yuán）工（gōng）的信息安全意识，不断获取并运用先进的管（guǎn）理方法（fǎ）和技术（shù）手段才能使企业的信息安全管理水平得以（yǐ）持（chí）续的发（fā）展（zhǎn）和提升（shēng）。