信息安（ān）全 (Information security): 是指信息的保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性（xìng） (Availability) 的保持。

•  保密性：为保（bǎo）障信息仅仅（jǐn）为（wéi）那些被授权使用的（de）人（rén）获取。

 信息的保密性是针对（duì）信息被（bèi）允许访问（ Access ）对（duì）象（xiàng）的（de）多少而不同，所有人员都可以访问的信（xìn）息为公开信息，需要限制（zhì）访问的信息（xī）一般为（wéi）敏（mǐn）感信息或秘（mì）密，秘密（mì）可以根据（jù）信（xìn）息（xī）的重要（yào）性及保密要求分为不同的密（mì）级（jí），例（lì）如国家根据秘密泄露对国家经济、安全利益产生的（de）影响（后果）不同，将国家（jiā）秘密（mì）分为秘（mì）密、机密和绝密（mì）三（sān）个等级，组（zǔ）织可根据其信息安全的实际，在符（fú）合《国家保密法》的前提下（xià）将其信息划分为不（bú）同的密级（jí）；对于具体（tǐ）的信息（xī）的保密性有（yǒu）时效性，如秘密到（dào）期解（jiě）密等。

 •  完整（zhěng）性：为保护（hù）信息及其处理方法的准确性（xìng）和完整性。

信（xìn）息完整性一方面是指信息在利用、传输、贮（zhù）存（cún）等过程中不被篡（cuàn）改、丢失、缺损（sǔn）等，另一（yī）方面（miàn）是指信息处理的方（fāng）法的正确性（xìng）。不正当的（de）操作，如误（wù）删（shān）除文件，有可能造成重要文（wén）件（jiàn）的丢失（shī）。

 •  可（kě）用性：为保障授权使用人在需要时可以获取信息和使用（yòng）相关（guān）的（de）资产。

信（xìn）息的可用性是指信息及相关（guān）的信（xìn）息（xī）资产在授权人（rén）需要的时候，可（kě）以立即获得。例如通（tōng）信（xìn）线路中断故障会造成信息的在一段时间内不可（kě）用，影响正常的商业运（yùn）作，这是信息可用性的破坏。不同类型（xíng）的信息（xī）及相应资产（chǎn）的信息安全在保密性、完（wán）整性及可用性（xìng）方面关注点不同，如组（zǔ）织的专（zhuān）有技术、市场营销计划等商业秘密对组织来讲保守机密尤其（qí）重要；而对于工业自动控制系（xì）统，控制（zhì）信息（xī）的完（wán）整性相对其保密性（xìng）重要得多。

为什么需要信息安全？

信息、信（xìn）息处理过程及对信息起支持作（zuò）用的信息系（xì）统和信（xìn）息网络都是重要的商务资产。信息的（de）保密性、完整性和可（kě）用性对（duì）保持竞（jìng）争优势、资金流动、效益、法律符合性和商业形（xíng）象都是（shì）至（zhì）关重要的（de）。然而，越来越（yuè）多的组织及其信（xìn）息系统和网络面临着包括计算（suàn）机诈骗、间谍、蓄意破坏、火灾、水灾等（děng）大（dà）范围的安全威（wēi）胁（xié），诸如（rú）计算机病毒、计算机入侵、 Dos 攻击（jī）等手段（duàn）造成的信息灾难已（yǐ）变得更加普遍 , 有计划而（ér）不易被（bèi）察觉（jiào）。组（zǔ）织（zhī）对信息系统（tǒng）和信息服务的依（yī）赖意（yì）味着更易受到安全威胁的破（pò）坏，公共和私人网络的互连及信息资源的共享增大了实现访问（wèn）控制的（de）难度。许多（duō）信息系统本身就不是按照安全系（xì）统的（de）要（yào）求来设计的，所以仅（jǐn）依靠技（jì）术手（shǒu）段来（lái）实现信（xìn）息安全有（yǒu）其局限性，所以信息安（ān）全的实现须得到管理（lǐ）和程（chéng）序（xù）控制的适当支持（chí）。确定应（yīng）采（cǎi）取哪些控制方式则需要周密计划，并注意细节。信息（xī）安（ān）全管理至少需要（yào）组织中的所有（yǒu）雇员的参与，此外（wài）还（hái）需（xū）要供应商、顾客或股东的参与和信息安（ān）全的专（zhuān）家建议（yì）。在信息系统设计阶段就将安全要求和控制一体化考虑，则（zé）成本会更低、效（xiào）率（lǜ）会（huì）更高（gāo）。

 BS7799的（de）信息管（guǎn）理过程：

①确定（dìng）信息安全管理方针。

②确定 ISMS( 信息安全管理体系) 的范围

③进行（háng）风险分析。

④选择控制目标并进（jìn）行控制。

⑤建立（lì）业务持（chí）续（xù）计划。

⑥建立并实施安全管理体系。

 建立信息安全管理体系的作用：

 任何组织，不（bú）论它在信息技术方面如何努（nǔ）力以及采纳如（rú）何新（xīn）的信息安全技术，实际上在信息（xī）安全管理方面都（dōu）还（hái）存在（zài）漏洞，例如：

· 缺少信息安全管理论坛，安全导向不明确，管理支持不明显； 

· 缺少跨部门的（de）信息安全（quán）协调机制； 

· 保护特定资（zī）产（chǎn）以及完（wán）成特（tè）定安全过程的职责还不明（míng）确； 

· 雇（gù）员信息安全（quán）意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所； 

· 组（zǔ）织（zhī）信息系（xì）统（tǒng）管理（lǐ）制度不（bú）够健全； 

· 组织（zhī）信息系统主机房安全存（cún）在隐患，如：防火设施存在问题，与（yǔ）危险品仓库同处一幢（zhuàng）办公楼等； 

· 组织信息系统备（bèi）份（fèn）设备（bèi）仍有欠（qiàn）缺； 

· 组（zǔ）织信息系统（tǒng）安全防范技术（shù）投入（rù）欠缺； 

· 软件知识产权保护欠缺； 

· 计算机房（fáng）、办公（gōng）场所（suǒ）等物理防（fáng）范措（cuò）施欠缺； 

· 档案、记录等缺少可靠（kào）贮（zhù）存场所； 

· 缺少一旦发生意外时的保（bǎo）证（zhèng）生（shēng）产经营连续（xù）性（xìng）的措（cuò）施（shī）和计（jì）划； 

        ……等（děng）等。

为什么要建立和实施ISO27001信息安全管理体（tǐ）系认证（2）

其实，组织可（kě）以参照信息安全管理模（mó）型，按照先进的信息（xī）安全管理标准 BS7799 标准（zhǔn）建立组织完（wán）整的信息安全管理体系并实施与保持，达到（dào）动态的、系统的、全员参与、制度（dù）化的、以预防为（wéi）主的信息安（ān）全管理（lǐ）方（fāng）式，用较低的成本，达到可接受的（de）信息安（ān）全（quán）水（shuǐ）平，就可以从（cóng）根本（běn）上保证业（yè）务的（de）连续性。组织建立、实（shí）施与保持信息安全管（guǎn）理体系将会（huì）产生如下作用：

· 强化员工的信息安全意识，规范组织（zhī）信息安全行为； 

· 对组织（zhī）的关键信（xìn）息资产进行全面系统的（de）保护（hù），维（wéi）持竞争优势； 

· 在信息系（xì）统受到侵袭时，确保（bǎo）业务持续开展并将损失降到较低程度； 

· 使组织的生意伙伴（bàn）和客户对组（zǔ）织充满信（xìn）心； 

· 如（rú）果通过体系认证，表（biǎo）明体系符合标（biāo）准，证明组织（zhī）有能力保障重要（yào）信息，提高组织（zhī）的（de）名度与信（xìn）任度； 

· 促使管（guǎn）理（lǐ）层坚持贯彻信（xìn）息安（ān）全保障体系。 

BS7799标准（zhǔn）概述：

· 1995 年，英（yīng）国贸工部（bù）根据英国国内（nèi）企业对信息安全日益（yì）高涨的（de）呼声（shēng），组织大企业的信息（xī）安全经理们，制定了世界（jiè）上第一个信息（xī）安全管理体（tǐ）系标准 BS7799-1 ： 1995 《信息安全管（guǎn）理实施规则》，作（zuò）为工商（shāng）业（yè）和大、中、小型组（zǔ）织实施信息安全管（guǎn）理（lǐ）的指南。由于该标准（zhǔn）采（cǎi）用建（jiàn）议和指导方式编写，因而不（bú）宜作（zuò）为认证（zhèng）标准使（shǐ）用。 

· 1998 年，为了适应第三方认证的需要（yào），英国又制定了第一个信息安（ān）全管理体系认证标准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作为对一个组织的全部或部分信息安全管理体（tǐ）系进行评（píng）审认证的依据标准。 

· 1999 年，鉴（jiàn）于计算机和信息处理技术（shù），尤其是网络和通信（xìn）领（lǐng）域应（yīng）用的迅速发展，英国又对信息安全管理体系标准进行了修订。修订（dìng）后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别（bié）取代（dài）了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的 1999 版标准进一步强调了（le）组织（zhī）在商务工作中所涉及的信（xìn）息安全和信息安全责（zé）任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建立和实（shí）施符合 BS7799-2 ： 1999 标准要（yào）求的（de）信息安全管理（lǐ）体系提供了较佳的应用（yòng）建（jiàn）议（yì）。 

· 2000 年 12 月（yuè）， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正式（shì）采纳成为（wéi）国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息（xī）安（ān）全（quán）管理实施（shī）规则》，另（lìng）外， BS7799-2 ： 1999 也即（jí）将于 2002 年底被 ISO/IEC 作为蓝本（běn）修订后成为（wéi）可用于（yú）认证的 ISO/IEC 的《信息安（ān）全管理体系规（guī）范（fàn）》。 

信息安全认证是实（shí）现信息安全目标的较佳途（tú）径：

BS7799-2：2002信息安全管理（lǐ）体系规范向组织提出了一系列认证的要（yào）求，在（zài）总则中提（tí）出组（zǔ）织应建立并保（bǎo）持一个文件化的信息安全管（guǎn）理体系，阐述被（bèi）保护（hù）的资产、组织风险管理的渠道、控制（zhì）目标及（jí）控制方（fāng）式（shì）和需要（yào）的保证等级；通过（guò）建立管理架构并加以实（shí）施来（lái）达（dá）到识别控制目（mù）标和控制方式，并（bìng）形成文（wén）件和（hé）记录（lù）。

BS7799-2：2002的控（kòng）制细则（zé）包括10个方（fāng）面： 　

· 安全方针：为信息安（ān）全提（tí）供管理指导和（hé）支持（chí）； 

· 组织安（ān）全：建立信息（xī）安全架构，保证组织的内部（bù）管理；被第三（sān）方访问或外协时（shí），保（bǎo）障组织的信（xìn）息安全； 

· 资（zī）产（chǎn）的（de）归类与控制：明（míng）确资产责任（rèn），保（bǎo）持对组织资产的适当保护；将信（xìn）息进行归类，确保信息资产受到适（shì）当程度的保护（hù）； 

· 人（rén）员安全：在工作说明和资源（yuán）方面，减少因人为（wéi）错误、盗窃、欺诈和（hé）设施误用造成的风险；加强用（yòng）户培训，确（què）保（bǎo）用户清楚（chǔ）知道信息安全的（de）危险（xiǎn）性和相（xiàng）关（guān）事项，以便（biàn）在他们的日（rì）常工作中支持组（zǔ）织的安全方针；制定安全事（shì）故（gù）或故障的（de）反应程（chéng）序（xù），减少由安全事故和故（gù）障造成的损（sǔn）失，监控（kòng）安（ān）全事件并从（cóng）这种事件中吸取教训； 

· 实物与环境安全：确（què）定安全区域，防止非授权访问、破坏（huài）、干（gàn）扰商务场所和（hé）信息；通（tōng）过保（bǎo）障设备安全（quán），防止资产的（de）丢失、破（pò）坏、资产危害（hài）及商务（wù）活动（dòng）的中断；采用通用（yòng）的控制（zhì）方式（shì），防止信息或信息处理（lǐ）设施（shī）损坏或失窃（qiè）； 

· 通信和操作方式管理：明确操作（zuò）程序及其责任，确保信息（xī）处理设施的（de）正确、安全（quán）操（cāo）作；加强系统策划与验收，减少系统失效风险；防（fáng）范（fàn）恶意软件以保持软（ruǎn）件和（hé）信息的完整性；加强（qiáng）内务管理以保持（chí）信息处理和（hé）通讯服务的完整性和有效性通过 ; 加强网络管理确保网络中的（de）信息安全及其辅助设施受（shòu）到（dào）保护；通过（guò）保护（hù）媒体（tǐ）处理的（de）安全（quán） , 防止资产损坏和（hé）商（shāng）务（wù）活动的中断；加强信息和软件的交换的管（guǎn）理，防止（zhǐ）组织间在（zài）交换信息时发生丢失、更改和（hé）误用； 

· 访问控制：按照访（fǎng）问控制的商务（wù）要求，控制信（xìn）息访问（wèn）；加强用户访问管理（lǐ），防止非（fēi）授（shòu）权访问信息（xī）系统；明确（què）用（yòng）户职责，防止非授权（quán）的（de）用户访问；加强网络访问控制，保护网（wǎng）络服务程序；加强（qiáng）操（cāo）作系统访（fǎng）问控制（zhì） , 防止非授权的计（jì）算机（jī）访问；加（jiā）强应用访问控制，防止非授权访（fǎng）问系（xì）统中（zhōng）的信息（xī）；通（tōng）过（guò）监控系（xì）统的（de）访问与（yǔ）使（shǐ）用（yòng），监测非授权行为；在移动式计算和电（diàn）传工作方面（miàn） , 确保使用（yòng）移（yí）动（dòng）式计算和（hé）电传工作设施的信息安全； 

· 系统开发（fā）与维护（hù）：明确系统安全要（yào）求，确保安全性已构成信息系统的一部份；加（jiā）强应（yīng）用系统的安全，防止应用系（xì）统用户数据的丢（diū）失、被修改（gǎi）或误用；加（jiā）强（qiáng）密码技术控制，保护（hù）信息的（de）保密性、可靠性或完整性（xìng）；加强系（xì）统文件的（de）安（ān）全，确保 IT 方案及其支持活动以安全的方式进行；加强开发（fā）和支持过（guò）程的（de）安全（quán），确保应用系统软件和信息的安全； 

· 商务连续性管理：防止商务活动的中断及（jí）保护关键（jiàn）商务过程（chéng）不受重（chóng）大失误或（huò）灾难事故的影响； 

· 符合：符合法律法规要求，避免（miǎn）刑法、民法、有关法令（lìng）法（fǎ）规或合（hé）同约定事宜（yí）及其他安全要求的规定相（xiàng）抵触；加强安全方针和（hé）技（jì）术（shù）符合性评审，确（què）保（bǎo）体系按（àn）照组织的安全（quán）方针及标准执（zhí）行；系统审核考（kǎo）虑因素，使效果（guǒ）较大化（huà） , 并使系统审（shěn）核过程的影响较小（xiǎo）化。 　 

在国际（jì）标准 ISO/IEC17799 给出了为实现信息安全认证所需的各项措（cuò）施的详细指导，具（jù）有很（hěn）强（qiáng）的可（kě）操作性和指导（dǎo）性。

归根结（jié）底，信息安全工作的目的就是在法（fǎ）律（lǜ）、法规、政策的（de）支持（chí）与指导下，通过采（cǎi）用合适的安（ān）全技术与安（ān）全管理措施（shī），提供安全需求（qiú）的保（bǎo）证（zhèng），而 BS7799 信（xìn）息安全认证标准正是总和了这些要求。组织可以（yǐ）根据（jù）自身特点，在 ISO/IEC 17799 指导下，实现信息（xī）安（ān）全的要求。

 ISO27001：2005 《信息安（ān）全管理（lǐ）体系（xì）要求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信息安全管理的（de）标准，是（shì）标准（zhǔn）不是方（fāng）法，达到这些标准的要（yào）求并（bìng）不难，重（chóng）要的是用什么方法去实现。企业应（yīng）将实施（shī）标准作为改善内部（bù）管理的一（yī）次（cì）机会，不应该（gāi）将标准做（zuò）为一种简单的模式对现有流程运（yùn）作进行套用，应对现有（yǒu）的组织运作流程进（jìn）行（háng）详（xiáng）细分析，有针对性地设计并改善现有管理体（tǐ）系（xì）、改善薄弱环（huán）节、改善运作流程及内部沟通，并有效地将先（xiān）进的管理思想融合到（dào）具体的实施程序中，才能发挥标准的（de）真正作用。

获得认证证书不（bú）是较终目的，建立有责（zé）、有序、有效的信息安（ān）全（quán）管理（lǐ）体（tǐ）系，提高员工的信息安全意识，不断获取并运用先进的管理方法和（hé）技术手段才能使企业的信息安全管理水平得（dé）以（yǐ）持（chí）续（xù）的发展和提升。