信（xìn）息安（ān）全 (Information security): 是指信息的（de）保密性（xìng） (Confidentiality) 、完整性（xìng） (Integrity) 和可用性（xìng） (Availability) 的保持。

•  保密性：为保障信息仅（jǐn）仅为（wéi）那些被授权使用的人获取。

 信息的（de）保密性是（shì）针对信息被（bèi）允许（xǔ）访问（wèn）（ Access ）对象的多少而（ér）不同（tóng），所有人员都可以（yǐ）访（fǎng）问（wèn）的（de）信息为（wéi）公开信息，需要限制访问的信息一般为敏感信息（xī）或秘密，秘密可以根据信息（xī）的（de）重要性及保（bǎo）密要求分（fèn）为不同的密级，例如国家根据秘密泄露对国家经济、安全利益产生（shēng）的影响（后果）不（bú）同（tóng），将国家秘密分为（wéi）秘密（mì）、机密和绝密三个等级（jí），组织可根据其信息安全的实际，在符合《国家保密法》的前提下将其信息划分为不（bú）同的密级；对于具体的信息的保密性有时效性，如秘密到期（qī）解（jiě）密等。

 •  完整性（xìng）：为保护信息及其处理方（fāng）法（fǎ）的（de）准确性和完整性。

信息完整性一（yī）方（fāng）面是指（zhǐ）信息在（zài）利用、传（chuán）输、贮存等过（guò）程中不被（bèi）篡改、丢（diū）失、缺损等，另（lìng）一（yī）方面是指信（xìn）息处理的方法的正确性。不正当的操作（zuò），如误删除（chú）文件，有可能造成重要文件的（de）丢失。

 •  可用性：为保（bǎo）障授权使用人在需要时可以获取（qǔ）信息和使用相（xiàng）关的（de）资产。

信息的（de）可（kě）用性（xìng）是指信息（xī）及相关的信（xìn）息资（zī）产在授权人需（xū）要的时候，可以立即获得。例如（rú）通（tōng）信线路（lù）中（zhōng）断故障会造成信息的在一段时间内不可用，影（yǐng）响正常的（de）商（shāng）业运作，这（zhè）是信息可用（yòng）性的破坏（huài）。不同类型的信息（xī）及相应资产的（de）信息安（ān）全在保密性、完整性及可用性方面关注点不同，如组织的专有技（jì）术（shù）、市场营销计（jì）划等商业秘密对组织来讲保（bǎo）守机密尤（yóu）其重要；而对（duì）于工业自动（dòng）控制系统（tǒng），控制信息的完（wán）整性相对其保密（mì）性重要得多。

为什么需要信息（xī）安全？

信息、信息（xī）处理过程及对信息起支持作用（yòng）的信息系统（tǒng）和信息网络都是（shì）重要（yào）的（de）商务资产。信（xìn）息的保密性（xìng）、完整性和可用性（xìng）对保持竞争优势（shì）、资金（jīn）流动、效益、法律符合（hé）性和商业形象都是（shì）至（zhì）关重要的。然而，越来越多的组（zǔ）织及其信息系统和（hé）网络面临（lín）着包括计算机诈骗、间谍、蓄（xù）意破（pò）坏、火灾、水灾等大（dà）范（fàn）围的安全威（wēi）胁，诸如计算机病毒、计算机入（rù）侵（qīn）、 Dos 攻击等手段造（zào）成的（de）信（xìn）息灾难已变得更加普遍 , 有计划（huá）而不易被（bèi）察（chá）觉。组（zǔ）织（zhī）对信（xìn）息系统和信息服务的（de）依赖（lài）意味着更易受（shòu）到安（ān）全威胁的破坏，公共和私人网（wǎng）络的互连及信（xìn）息资源（yuán）的共享（xiǎng）增（zēng）大（dà）了实现访问控制的难度。许（xǔ）多信（xìn）息系统本身就不是按照（zhào）安（ān）全系统的（de）要求来设计（jì）的，所以（yǐ）仅依靠技术手（shǒu）段来实（shí）现（xiàn）信息安全有其局限性，所（suǒ）以信息安全的（de）实现须得（dé）到管（guǎn）理（lǐ）和程序控制的适当支持（chí）。确定应采取哪些控制方式则需要周密（mì）计划（huá），并注意细节。信息安全管理至（zhì）少需要组（zǔ）织（zhī）中的所有雇员（yuán）的（de）参与，此外（wài）还需要供应商、顾（gù）客（kè）或股东的参与和信息（xī）安全的专家建议。在信（xìn）息系（xì）统设（shè）计阶段就将安全要求和控制一（yī）体化考虑，则成（chéng）本（běn）会更低、效率（lǜ）会更高。

 BS7799的信（xìn）息管理过程：

①确（què）定信息安（ān）全管理方针。

②确定 ISMS( 信息安全管理体（tǐ）系) 的范围

③进行风（fēng）险分析。

④选择控制（zhì）目标并进行控（kòng）制。

⑤建立（lì）业务持（chí）续计划。

⑥建立并实施安全管理体系。

 建立信息安全（quán）管理体系的作用：

 任何组织，不论它在信息技术（shù）方面（miàn）如何努力以及采纳如何新的信息安全技（jì）术，实际上在信息（xī）安全管理方面都还存在（zài）漏洞，例（lì）如：

· 缺少信（xìn）息安全管理论坛，安（ān）全导向不明确，管理支持不明显； 

· 缺少跨部门的信息安全协调机制； 

· 保护特定资产（chǎn）以及完成特定安全过程（chéng）的职责还不明确； 

· 雇员信息（xī）安全意识薄弱，缺少防范意识，外（wài）来人员很容易直接进入（rù）生产和工作场所； 

· 组织信息系统管理制度不够健（jiàn）全； 

· 组织信息系统主机房安（ān）全（quán）存在隐患，如：防火设施（shī）存在问题，与危（wēi）险品仓库同处一幢办公楼等（děng）； 

· 组织（zhī）信（xìn）息（xī）系统备份（fèn）设（shè）备（bèi）仍有欠缺； 

· 组织信息系统（tǒng）安全防范技术投入欠缺； 

· 软件知（zhī）识（shí）产（chǎn）权保护欠缺； 

· 计（jì）算机（jī）房、办公（gōng）场所等物理防范措施欠缺（quē）； 

· 档（dàng）案、记录等缺少可靠贮存场所； 

· 缺少一（yī）旦（dàn）发生意外时的保证（zhèng）生产（chǎn）经营连（lián）续性的措（cuò）施和计划； 

        ……等等。

为什么（me）要建立和实施（shī）ISO27001信息安（ān）全（quán）管理体系（xì）认证（2）

其实，组织可以参照信息安（ān）全管理模型（xíng），按照先进的信息（xī）安（ān）全管理标准 BS7799 标准建（jiàn）立组织完整（zhěng）的信息安全管理体（tǐ）系并实施与保持，达到动态（tài）的、系统（tǒng）的、全员（yuán）参与、制度化的、以（yǐ）预防（fáng）为主的信息安全管理方式，用较低的成本，达到可接（jiē）受的信（xìn）息安全水平，就可以从根本上保证业务的连续性。组织建立、实施与保持信息安全（quán）管理体系将会产（chǎn）生（shēng）如下作用：

· 强化员工的信息安全意识，规范组织信（xìn）息安（ān）全行为； 

· 对组织（zhī）的关键信（xìn）息资产进行全面（miàn）系统的保护，维（wéi）持竞争（zhēng）优（yōu）势（shì）； 

· 在信（xìn）息系统受（shòu）到侵袭（xí）时，确保（bǎo）业务持续开展并将（jiāng）损失（shī）降到较（jiào）低程度； 

· 使组（zǔ）织的生意伙伴和客（kè）户对组织充满（mǎn）信心； 

· 如果通过体（tǐ）系认证，表明（míng）体系符合标准，证明组（zǔ）织有能力保障重要信息，提高组织的名（míng）度与信任度（dù）； 

· 促使管理层坚持贯（guàn）彻信息安全保障（zhàng）体系。 

BS7799标准概述（shù）：

· 1995 年，英（yīng）国贸工部根据（jù）英（yīng）国国内企业对信息安全日（rì）益高（gāo）涨的呼声，组织大企业的信息安全经理们（men），制定了世界上第（dì）一个信息（xī）安（ān）全管（guǎn）理体系标准 BS7799-1 ： 1995 《信息（xī）安全管理实（shí）施规则》，作为工商业和大、中、小（xiǎo）型（xíng）组织实施信息安全管理的（de）指南（nán）。由于该（gāi）标准采用（yòng）建议和指（zhǐ）导方式编写，因而不宜作为认（rèn）证标准使用。 

· 1998 年，为（wéi）了适应（yīng）第（dì）三（sān）方认（rèn）证的需（xū）要，英国又制定了第一（yī）个信息（xī）安全（quán）管理体系（xì）认证标准 --BS7799-2 ： 1998 《信息安全管（guǎn）理体系规范》，作为对一个组织的（de）全部或部分信（xìn）息安全管理体系（xì）进行评审认（rèn）证的依据标准。 

· 1999 年（nián），鉴（jiàn）于计（jì）算机和信（xìn）息（xī）处理技术，尤其是（shì）网（wǎng）络和通信（xìn）领域应用的迅速发（fā）展，英国又对（duì）信息安（ān）全管理体系标（biāo）准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别（bié）取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调（diào）了组织在商务工作中所涉及的信（xìn）息安全和信息安全（quán）责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如（rú）何建立和实施符合 BS7799-2 ： 1999 标准（zhǔn）要求的信（xìn）息安（ān）全管（guǎn）理体（tǐ）系提供了（le）较（jiào）佳的应用建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经（jīng）被 ISO/IEC 正式采纳成为（wéi）国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息（xī）技术—信（xìn）息安全管理实施（shī）规则》，另外， BS7799-2 ： 1999 也即将于（yú） 2002 年底（dǐ）被 ISO/IEC 作为（wéi）蓝本修订后成（chéng）为（wéi）可用于认证的 ISO/IEC 的《信息安全管理体（tǐ）系规（guī）范》。 

信息（xī）安全认证（zhèng）是（shì）实现信息安全目标（biāo）的较佳途径：

BS7799-2：2002信（xìn）息安全管（guǎn）理（lǐ）体系（xì）规范向组（zǔ）织提出了一系（xì）列认证（zhèng）的要求，在总（zǒng）则中提出组织应建立并保持一个文件化的信息安全管理体系，阐述被保护的资产、组织风险管理的渠道（dào）、控制目标及控制（zhì）方式和（hé）需要的保证等级（jí）；通过建立管（guǎn）理架构并（bìng）加以实施来达到识别控制目标和控（kòng）制方式，并（bìng）形成文件和记（jì）录。

BS7799-2：2002的控制细（xì）则包括10个方面（miàn）： 　

· 安（ān）全方（fāng）针：为信息安全提供管理指导（dǎo）和（hé）支持； 

· 组织（zhī）安全：建（jiàn）立信息（xī）安（ān）全架构，保证组织的内部管理；被第三方访问或（huò）外协时，保障（zhàng）组织（zhī）的信（xìn）息安全（quán）； 

· 资产的归类与（yǔ）控制：明确资产责任，保持对组（zǔ）织资（zī）产的适当（dāng）保护；将信息进行（háng）归类，确保信息（xī）资产受到适当程度的保护； 

· 人员安全：在工（gōng）作（zuò）说明和资源方面，减少因人为错误、盗窃、欺诈和（hé）设施（shī）误用造成的风险；加强用户培训，确保用户清楚知（zhī）道信息安（ān）全（quán）的危险（xiǎn）性和相关事项，以便在他们的日常工作（zuò）中支持组织（zhī）的安全方针（zhēn）；制定安全事故或（huò）故障的反应程序，减少由安全事故和故障造成的损失，监控安（ān）全事件并从这种（zhǒng）事（shì）件中吸（xī）取教训； 

· 实（shí）物与（yǔ）环境安全（quán）：确定安全区域，防止（zhǐ）非授权访问、破坏、干扰商务（wù）场所和信息；通过保（bǎo）障设备安全，防止资（zī）产的丢失、破坏（huài）、资产（chǎn）危（wēi）害及商务活动的中（zhōng）断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃； 

· 通信和（hé）操作方式（shì）管理：明确（què）操作程序及其责任，确保信息处理（lǐ）设施（shī）的正（zhèng）确、安全操作；加强（qiáng）系统策划与验收，减少系统失效风险；防（fáng）范（fàn）恶意软件以保持软（ruǎn）件和信息的（de）完整性；加（jiā）强（qiáng）内务管理（lǐ）以保持（chí）信息处理和通（tōng）讯服务的（de）完整性和有效性通过 ; 加强网络管理确保网络中（zhōng）的信息安全及（jí）其辅助设施（shī）受到保护；通过保护媒体处理的安全 , 防止资产（chǎn）损坏和商务活动（dòng）的中断；加强信息和软件（jiàn）的交换的管理（lǐ），防止组织间（jiān）在交换（huàn）信息时发生（shēng）丢失、更改和（hé）误用； 

· 访问控制：按照访问控制的商务要求（qiú），控制信息访问；加强（qiáng）用户访问管理，防（fáng）止非授权（quán）访问（wèn）信息系统；明（míng）确用户职责，防止非（fēi）授权的（de）用户访（fǎng）问；加强网（wǎng）络访问控制，保护网络服务程序；加强操作（zuò）系统访问控制 , 防（fáng）止非（fēi）授权的计算机访问；加强应用（yòng）访问控制，防止非授权访问（wèn）系统（tǒng）中的信息；通过监控（kòng）系统的访问（wèn）与（yǔ）使用，监测非授权行为；在移动式计（jì）算和（hé）电传工作方面（miàn） , 确保使用移动式计算和电传工作（zuò）设施的（de）信息安全（quán）； 

· 系统（tǒng）开发与维护：明确系统安全要求，确（què）保安（ān）全性已（yǐ）构成信息系统（tǒng）的（de）一（yī）部份；加强应用系统的（de）安（ān）全，防止应用系（xì）统（tǒng）用（yòng）户数据的丢（diū）失、被修改或误用（yòng）；加强密码技术控制，保护信息的保（bǎo）密（mì）性、可靠性或（huò）完整性；加强系统（tǒng）文件的安全，确保 IT 方（fāng）案及其支持活动以安全的方式进行；加强开（kāi）发和支持过程的（de）安全，确（què）保应用系统软件和（hé）信息的（de）安全； 

· 商务连续性管理：防止商（shāng）务活（huó）动的中断及保护（hù）关键商务过程不受（shòu）重大失误或灾难（nán）事故（gù）的影响； 

· 符合：符（fú）合法律法规要求（qiú），避免刑法（fǎ）、民法、有关法（fǎ）令（lìng）法规或合（hé）同约定（dìng）事宜及其他安（ān）全要求的规定相抵触；加强（qiáng）安全方针（zhēn）和技术符合性评审，确（què）保体（tǐ）系按照（zhào）组织的安全（quán）方针及标准执（zhí）行；系统审核（hé）考虑（lǜ）因素（sù），使效果较大化 , 并（bìng）使系统审核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出（chū）了为（wéi）实（shí）现信息（xī）安全（quán）认证所需的各（gè）项措施的详（xiáng）细指导，具有（yǒu）很强（qiáng）的（de）可操作性和（hé）指导（dǎo）性（xìng）。

归（guī）根结底，信息安全工作的目的就是在（zài）法律、法规、政策的支持与指导下，通过采用合适的安全技术（shù）与安全（quán）管理措施，提供安全需求的保证，而 BS7799 信息（xī）安全认证标准正是（shì）总（zǒng）和了这些要（yào）求。组织可以（yǐ）根据自身特点（diǎn），在 ISO/IEC 17799 指导下（xià），实现信（xìn）息安全的（de）要（yào）求。

 ISO27001：2005 《信息（xī）安全管理体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求》是（shì）关于（yú）信息安全（quán）管理的标准（zhǔn），是标准不是（shì）方法，达到这些（xiē）标准的要求并不难，重（chóng）要的是用什（shí）么方法去实现。企业（yè）应将（jiāng）实施标（biāo）准（zhǔn）作为改善内部管理的一次机会，不应该将标（biāo）准做为一种简单的模式对现（xiàn）有流（liú）程运作（zuò）进行（háng）套用，应对现有的（de）组织运作流程进行详细分析（xī），有针对性地设计（jì）并改善现有（yǒu）管理体系、改善薄弱（ruò）环（huán）节、改善运（yùn）作流程及内部沟（gōu）通，并有（yǒu）效地将先进的管理思（sī）想融合到具体的实施（shī）程序中（zhōng），才能发挥标准的真正作用。

获得认（rèn）证证书（shū）不（bú）是较终目的，建立有责、有序、有效（xiào）的信（xìn）息安全管理（lǐ）体系，提高员工的信息（xī）安全意（yì）识，不断获取并（bìng）运（yùn）用（yòng）先进的（de）管理方法和技术手段才（cái）能使（shǐ）企业的信息安全管（guǎn）理水平得（dé）以持（chí）续的（de）发展和提升。