信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完（wán）整性 (Integrity) 和可用性 (Availability) 的保（bǎo）持。

•  保密（mì）性：为（wéi）保障信（xìn）息仅仅为（wéi）那些被授权使用的（de）人获取。

 信息的保密性是针对信息被（bèi）允（yǔn）许（xǔ）访问（ Access ）对象的多少而不同，所（suǒ）有人员都可以访（fǎng）问的信（xìn）息为（wéi）公（gōng）开信息，需要限制访问的信息（xī）一（yī）般为敏（mǐn）感信息或秘密，秘密（mì）可以根（gēn）据（jù）信息的重要性（xìng）及保密要求（qiú）分为不同的密级，例如国家根据（jù）秘密泄（xiè）露对国家（jiā）经济、安全利益产生的影响（后果）不同，将国家秘密分为秘密、机密和绝密（mì）三个等级，组织可（kě）根据其（qí）信息安全的实（shí）际，在（zài）符合（hé）《国（guó）家保（bǎo）密（mì）法（fǎ）》的前提下将其（qí）信（xìn）息划分（fèn）为不同（tóng）的密级；对于具体的（de）信息的保密（mì）性有时效性（xìng），如秘（mì）密到期解密等。

 •  完整性：为保护信息及其处理方法的准确性和完整性。

信息完整性一方面是（shì）指信息在利用、传输、贮存等过程中（zhōng）不被篡改、丢失、缺（quē）损等，另一方面是指信息（xī）处理的方法的正确性。不正当的操作，如误（wù）删除文件，有可能造成重要文件的丢失。

 •  可用性（xìng）：为保障授（shòu）权（quán）使（shǐ）用人在需要时可以获取（qǔ）信息和使用（yòng）相（xiàng）关的资产。

信息的可用性是指信（xìn）息及相关的（de）信（xìn）息资产在授权人需要的（de）时候，可以（yǐ）立即（jí）获得。例（lì）如（rú）通信线（xiàn）路中断故障会造成信息的在（zài）一段时间（jiān）内不可用，影响（xiǎng）正常的（de）商业（yè）运作，这是信息可用性的破（pò）坏。不同类型的信息（xī）及相应资（zī）产的信（xìn）息安全在保密性、完整性及可用（yòng）性方面关注（zhù）点不同，如组织的专（zhuān）有技术、市（shì）场营销计划等商业秘密对组织来讲（jiǎng）保守机（jī）密尤其重要；而（ér）对（duì）于工业自动控制系统，控制信息的完整性相对其保密（mì）性重要得多。

为（wéi）什（shí）么（me）需要信（xìn）息安（ān）全？

信息、信息处理过程及对（duì）信息起支持作用的信（xìn）息系统和信（xìn）息网（wǎng）络都（dōu）是重要的商（shāng）务资产（chǎn）。信息的保（bǎo）密性、完（wán）整性和可（kě）用性对保持竞（jìng）争优势、资金流动、效益、法律符合性和商业形（xíng）象都是至关重要（yào）的。然而，越来越多的组织及其信息系（xì）统和网络面临（lín）着（zhe）包括计（jì）算机诈骗、间谍、蓄意破坏、火灾（zāi）、水（shuǐ）灾（zāi）等大范（fàn）围的（de）安全威胁，诸（zhū）如（rú）计（jì）算机病毒、计算机（jī）入侵（qīn）、 Dos 攻击等手段造（zào）成的信息灾难（nán）已（yǐ）变得更加普遍 , 有计（jì）划而不易（yì）被察（chá）觉。组织对信息系统和信息（xī）服（fú）务的依赖意味着更易受到安全威胁的破（pò）坏，公共和私人（rén）网络的（de）互连及信息资源的共享增大（dà）了实现访问控制（zhì）的难度（dù）。许多信息系统本身就不（bú）是按（àn）照安全系（xì）统的要求来（lái）设计（jì）的，所以仅依（yī）靠技术手段来实现信息安全有其（qí）局限性，所以信息安全的实现须得到管理（lǐ）和程序控制的（de）适当支持（chí）。确定应采取（qǔ）哪些控制方式则需要周密（mì）计划，并注（zhù）意细（xì）节。信息安全管理至少（shǎo）需要组（zǔ）织中的所（suǒ）有雇员的（de）参与，此外还需要（yào）供应商（shāng）、顾客或股东（dōng）的参与和信息（xī）安全（quán）的专家建议（yì）。在信息（xī）系统设计（jì）阶（jiē）段（duàn）就将安全要（yào）求和控制一体化考（kǎo）虑，则成本会更低（dī）、效率会（huì）更（gèng）高（gāo）。

 BS7799的信（xìn）息管理过程：

①确定信息（xī）安全管理方针。

②确（què）定 ISMS( 信息安全管理体系) 的（de）范围

③进行风险分析。

④选择控制（zhì）目标（biāo）并进行控制。

⑤建立业务持续计划。

⑥建立并实施安全管理体系。

 建立信息安全管（guǎn）理体系的作（zuò）用（yòng）：

 任何组织，不论它在信息技术方面如何努力以（yǐ）及采纳如（rú）何新的信息安全技术，实（shí）际上在（zài）信（xìn）息安全管理方面都还存在漏洞，例如：

· 缺少（shǎo）信息安全（quán）管理论坛，安全导向不明确，管理支持不明显； 

· 缺少（shǎo）跨部门（mén）的信（xìn）息（xī）安全协调（diào）机（jī）制（zhì）； 

· 保护特定（dìng）资产以及完成特定安（ān）全（quán）过程（chéng）的职（zhí）责还不（bú）明确； 

· 雇员（yuán）信息安全意识薄弱（ruò），缺少防范意识，外来人员很容易直接进入（rù）生产和工作场所； 

· 组织信（xìn）息系（xì）统管理制度不够（gòu）健全； 

· 组织（zhī）信息系（xì）统主机（jī）房安全存在隐患，如：防火（huǒ）设施存在问题，与（yǔ）危险品仓库同处一幢办公楼等； 

· 组织信（xìn）息系统备份设备仍有欠（qiàn）缺； 

· 组织信息系统安全防范技术投（tóu）入欠缺； 

· 软件知识产权保护（hù）欠缺； 

· 计算机房（fáng）、办公场所等物理防范措（cuò）施（shī）欠缺（quē）； 

· 档案、记录等缺（quē）少（shǎo）可靠贮存（cún）场所； 

· 缺少一（yī）旦发（fā）生意外时的（de）保（bǎo）证生（shēng）产经营（yíng）连续（xù）性（xìng）的措施（shī）和计划； 

        ……等等。

为什（shí）么要建（jiàn）立和实（shí）施ISO27001信息安全（quán）管理体（tǐ）系（xì）认证（2）

其实，组织可以参（cān）照（zhào）信息安全管理模型，按（àn）照（zhào）先进（jìn）的信息安全管理标准 BS7799 标准建立组织完（wán）整的信息安全管理体系并实施（shī）与保持，达到动态（tài）的、系统的、全员参与、制（zhì）度化的、以预防为主的信息安全管理方（fāng）式，用较低的成本，达到可（kě）接受的信息安全水平，就（jiù）可以从根本上保证业（yè）务的连续性。组织建立、实施（shī）与（yǔ）保持信息安全管理体（tǐ）系将会产生如下作用：

· 强（qiáng）化员工的信息安全意识，规（guī）范组（zǔ）织信息安全行为； 

· 对组织（zhī）的关键（jiàn）信息资产进行全面系（xì）统的保（bǎo）护，维持竞争优势； 

· 在（zài）信（xìn）息系（xì）统受到侵（qīn）袭时，确保业务持续（xù）开展并将损失降到较低程（chéng）度； 

· 使组织（zhī）的生意伙伴和客户对组（zǔ）织（zhī）充（chōng）满信心； 

· 如果通过体系认证，表（biǎo）明体系符合标准，证明组织有（yǒu）能力保障重（chóng）要信息，提高组织（zhī）的名（míng）度与信任度； 

· 促使（shǐ）管理层坚持贯彻信息安全保障体系。 

BS7799标准概述：

· 1995 年，英国（guó）贸工部根（gēn）据英国国内企业对信息安（ān）全日益高涨的（de）呼声（shēng），组（zǔ）织（zhī）大企业的（de）信息（xī）安全经理（lǐ）们，制定了（le）世界上第一个信息安全管理体系标准 BS7799-1 ： 1995 《信息安全（quán）管（guǎn）理实施规则》，作为工商（shāng）业和大、中、小型组（zǔ）织实施信（xìn）息安全管理的指南。由于该标准采用建议和指（zhǐ）导方式编（biān）写，因而（ér）不宜作为认证标（biāo）准使用（yòng）。 

· 1998 年，为了适（shì）应第三方认证的（de）需要，英国又制定（dìng）了第一（yī）个信息（xī）安全管理体系认证标准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作（zuò）为对（duì）一个组织的（de）全部或（huò）部分信息（xī）安全管（guǎn）理体系进行（háng）评审认证（zhèng）的依（yī）据标准。 

· 1999 年，鉴于计算（suàn）机和信息处理（lǐ）技术，尤其（qí）是网络和（hé）通信领域应用的迅速发（fā）展，英国又（yòu）对信息（xī）安全管（guǎn）理体（tǐ）系标准进行了（le）修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修订的 1999 版（bǎn）标准进一步强（qiáng）调（diào）了组织在（zài）商务工作中（zhōng）所涉及的信息安全（quán）和（hé）信息安全责任。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是（shì）一对配（pèi）套标（biāo）准， BS7799-1 ： 1999 为（wéi）如何建（jiàn）立和（hé）实施符合 BS7799-2 ： 1999 标准（zhǔn）要求的（de）信息安全管理体系（xì）提供了较佳的（de）应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正式采纳成（chéng）为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息（xī）安（ān）全管理实（shí）施（shī）规则（zé）》，另（lìng）外， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作为蓝（lán）本修订后成为可（kě）用于认证（zhèng）的 ISO/IEC 的《信息安（ān）全管理（lǐ）体系规范》。 

信息安（ān）全认证（zhèng）是实现信息安（ān）全目标的较佳途径：

BS7799-2：2002信息安全管（guǎn）理体系规范（fàn）向组（zǔ）织提出了一系列认证（zhèng）的要（yào）求，在总则中（zhōng）提出组（zǔ）织应建立并（bìng）保（bǎo）持一（yī）个（gè）文件化的信息安（ān）全（quán）管理体（tǐ）系（xì），阐述被保护的资产、组（zǔ）织风险管理的渠道、控（kòng）制目标及控制方式和需要的保证等（děng）级（jí）；通过建立管理架构并加（jiā）以实施来（lái）达到识别控制（zhì）目标和控制方式，并形（xíng）成文件和记录。

BS7799-2：2002的（de）控制细则包（bāo）括10个方面： 　

· 安全方针：为信息安全提供管理指导和支持； 

· 组织（zhī）安全：建立信（xìn）息安（ān）全架构，保证（zhèng）组织（zhī）的内（nèi）部管理；被第三方访（fǎng）问或（huò）外协时，保障组织的（de）信息安全（quán）； 

· 资产的归类（lèi）与控制：明确（què）资产责（zé）任，保（bǎo）持（chí）对组织资产的适（shì）当保护；将信息（xī）进行归类，确保信息资产（chǎn）受到适当程度的保护； 

· 人员安（ān）全：在工作说明和资源（yuán）方面，减少因（yīn）人为错误、盗窃、欺诈和设施（shī）误用（yòng）造成的风险；加强用户培训，确保（bǎo）用（yòng）户（hù）清（qīng）楚（chǔ）知道信息安全的危险性和相关事项，以便（biàn）在（zài）他们的日常工作中支（zhī）持组织的安全方针；制（zhì）定安全事故或故（gù）障的反应程序（xù），减少（shǎo）由安全事故和故障（zhàng）造成的（de）损失，监控安全事件并从这种事件（jiàn）中吸取教训（xùn）； 

· 实物与环（huán）境（jìng）安全：确定安全区域，防止非授权访问、破坏、干（gàn）扰商务场所和（hé）信息；通过保障设备（bèi）安全，防止资产的（de）丢失（shī）、破坏、资产危害及商务活（huó）动的中断；采用（yòng）通用的控制方式（shì），防止信（xìn）息或信息处（chù）理（lǐ）设施（shī）损坏或失窃； 

· 通信和操作方式（shì）管理：明（míng）确操作程序及其责（zé）任，确保信息处理设施的正确、安全操作；加（jiā）强系统策划与验（yàn）收，减少系统失效风险；防范恶（è）意软（ruǎn）件以保持软件和信（xìn）息的（de）完（wán）整性；加强（qiáng）内务管理以保持信息处理和通（tōng）讯服务的完整性和（hé）有效性通过 ; 加强网络管理（lǐ）确（què）保网络（luò）中的信息安（ān）全及其辅助设施受到（dào）保护；通过保护媒体处（chù）理（lǐ）的安全（quán） , 防止资产损坏和商务活动的中（zhōng）断；加强信息（xī）和软（ruǎn）件的交换的管理，防止（zhǐ）组织间在（zài）交换信息（xī）时发生丢失（shī）、更（gèng）改和误用； 

· 访问控制：按照访问控制的商务要求，控制（zhì）信息访问；加强用（yòng）户（hù）访问管理，防止非授权（quán）访（fǎng）问信息系统（tǒng）；明确用户职责，防止（zhǐ）非授权的用户访问；加强网络访问控制，保护网络服务程（chéng）序；加强操（cāo）作系统访（fǎng）问控制（zhì） , 防止非授权的计算机访（fǎng）问；加强（qiáng）应用访问控制，防止非（fēi）授权（quán）访问系统（tǒng）中的信（xìn）息（xī）；通过（guò）监控系统的访问与使用，监测非授权行（háng）为；在移（yí）动式计算和电传工作方面（miàn） , 确保使用移动（dòng）式计算（suàn）和电传（chuán）工作设施的信息安（ān）全（quán）； 

· 系（xì）统开发与维护：明确系统安全要求，确保安（ān）全性（xìng）已构成信息（xī）系统的一部份（fèn）；加强应用系统的安全，防止应用系统用户（hù）数（shù）据的丢（diū）失（shī）、被修改（gǎi）或误（wù）用；加强密码技（jì）术控制，保护信息的保密性、可（kě）靠性或完（wán）整性；加强系统文件的安全，确保 IT 方（fāng）案及其支（zhī）持活动以安全的方式进行；加强开发和（hé）支持过程的（de）安全，确保应用系（xì）统（tǒng）软件和信息的安（ān）全； 

· 商务连续（xù）性（xìng）管理：防止（zhǐ）商务活动的中断及保护关键商务过程不（bú）受重（chóng）大失误或灾难事故的影（yǐng）响； 

· 符合：符合法（fǎ）律法规要求，避免（miǎn）刑法、民法、有关法令法规或合同约定事宜及其他安全要求（qiú）的规定相抵（dǐ）触（chù）；加强（qiáng）安全方针和技术符合性评（píng）审，确保体系按（àn）照组织的安全方针及标准（zhǔn）执行；系统审核考（kǎo）虑因素，使效果较大化 , 并使系统审核过程的影（yǐng）响较小（xiǎo）化。 　 

在（zài）国际标准 ISO/IEC17799 给出了为实现（xiàn）信息安（ān）全认证所需的各项措施的详细指（zhǐ）导，具有很强（qiáng）的可操（cāo）作性（xìng）和指导性（xìng）。

归根结底（dǐ），信息安全工作（zuò）的目的就是在法（fǎ）律、法（fǎ）规（guī）、政（zhèng）策的（de）支（zhī）持与指导下，通过采（cǎi）用合适（shì）的（de）安全（quán）技术与（yǔ）安全管（guǎn）理措施（shī），提（tí）供安全需求的（de）保证，而 BS7799 信（xìn）息安全认证（zhèng）标准正是总和（hé）了这些要求（qiú）。组织可以（yǐ）根据自身特点，在（zài） ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全管理（lǐ）体系要求》是关于信息安全管（guǎn）理的标准，是标准（zhǔn）不（bú）是方法，达到这些标准的要求并不难，重要的是用什么（me）方法去实现。企业应将实（shí）施标准作（zuò）为改善内部管理（lǐ）的一次机会，不应该（gāi）将标准做为一种简单的模式对现有（yǒu）流（liú）程（chéng）运作进行（háng）套（tào）用，应对（duì）现有的组织运作流程进行（háng）详细（xì）分析，有（yǒu）针对性地设计并改善现有（yǒu）管理体系、改善薄弱环（huán）节、改（gǎi）善运（yùn）作流程及内部沟通，并有效地将（jiāng）先（xiān）进的（de）管（guǎn）理思想融合到具体的实施程序（xù）中，才能发挥标准的（de）真正（zhèng）作用。

获得认证证书不是较终目的，建立有责（zé）、有序、有效的信息安全管理体系，提高员工（gōng）的信息安全意识，不（bú）断（duàn）获取并运用先进的管理方法（fǎ）和（hé）技术手段（duàn）才（cái）能使企业的信息安全（quán）管理水（shuǐ）平得以持续（xù）的发展和提升。