信息安全（quán） (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为保障信息仅仅为那些（xiē）被授（shòu）权使用的（de）人获取。

 信（xìn）息的保密性是针对信息被允许访问（ Access ）对象（xiàng）的多少（shǎo）而不同（tóng），所有人员都可以（yǐ）访问（wèn）的（de）信息为公开信（xìn）息，需要限制访问的信（xìn）息（xī）一般为敏感信息或秘密，秘密可以根据信（xìn）息（xī）的重要性及保密要求分为不同的密级，例如国（guó）家根据（jù）秘密泄露（lù）对国家（jiā）经（jīng）济、安全利（lì）益产生的影响（后果（guǒ））不同，将国家（jiā）秘（mì）密分为（wéi）秘密、机密和绝密三个等级（jí），组织可根（gēn）据其信息安全的实（shí）际，在符合《国家保密法》的前（qián）提下将其信息划分为不（bú）同的（de）密级；对于具体（tǐ）的信息的（de）保密（mì）性有时效性，如秘密到期解密等。

 •  完（wán）整性（xìng）：为保（bǎo）护信息及其处理（lǐ）方法的准确性和完整性。

信息（xī）完整性一方（fāng）面是指信息在利用、传输（shū）、贮（zhù）存等（děng）过程中不被篡（cuàn）改、丢失、缺损等，另一方面是指信息处理的方（fāng）法的正确性。不正当的操作，如误删（shān）除文件，有可能造成重（chóng）要文（wén）件的（de）丢失。

 •  可（kě）用性：为保障授（shòu）权（quán）使用（yòng）人（rén）在需要时可（kě）以获取信息和使用相关的资产。

信息（xī）的可用性是指信息及相关的（de）信息资产在授权人需要（yào）的时候（hòu），可以（yǐ）立即获得。例（lì）如（rú）通信线路中断故（gù）障会造成信（xìn）息（xī）的在一段时间内不可用（yòng），影响正常的（de）商业（yè）运作，这（zhè）是信息可用性的破坏（huài）。不同（tóng）类型的（de）信息及（jí）相应资（zī）产的信（xìn）息安全在保密性（xìng）、完整性及可（kě）用性方面关注点不同（tóng），如组织的专（zhuān）有技（jì）术、市场营销计划等商业（yè）秘密对组织来讲保守机（jī）密尤其（qí）重要；而（ér）对于工（gōng）业（yè）自（zì）动（dòng）控制系（xì）统，控制信息的完整性相对其保（bǎo）密性重要得多。

为什么需要信息安全？

信息（xī）、信（xìn）息处理过程（chéng）及对信息（xī）起支（zhī）持（chí）作（zuò）用的信息系统和（hé）信息（xī）网络都是重要的商务（wù）资产。信息（xī）的（de）保密性、完整性（xìng）和可（kě）用（yòng）性对保（bǎo）持竞争优势、资金流动、效益（yì）、法律符合性和商业（yè）形象（xiàng）都是（shì）至关重要的。然（rán）而，越（yuè）来越多的组织及其信息系（xì）统和（hé）网络面临着包（bāo）括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大（dà）范围的安（ān）全威（wēi）胁，诸（zhū）如计算机病毒（dú）、计算机入侵、 Dos 攻（gōng）击（jī）等手（shǒu）段造成的信息灾难已变得更（gèng）加普（pǔ）遍 , 有计划而（ér）不易被（bèi）察觉。组织对信息系统和信息服务的依赖（lài）意味着更易（yì）受到安全（quán）威胁（xié）的破（pò）坏，公共和私人网络的互连及信息资源的共享（xiǎng）增大了实现访问控制的难度。许多信息系（xì）统本身就不是按照安全系统的要求来设计的，所（suǒ）以仅依靠技术手段来实现信息安全有其局限性，所以（yǐ）信息安全的实（shí）现须得到管理和程（chéng）序控制的适（shì）当支持。确定应（yīng）采取哪些控制方式则需要周密计划，并（bìng）注意细节。信息（xī）安全管理至（zhì）少需（xū）要（yào）组（zǔ）织中的所有雇员的参与，此（cǐ）外还需（xū）要（yào）供应商、顾客或（huò）股东的参与和信息安全的专家建议。在信息（xī）系统（tǒng）设计阶段就（jiù）将（jiāng）安全要求和控（kòng）制一体（tǐ）化考虑，则成本会更低、效率（lǜ）会更高。

 BS7799的信息管理过程（chéng）：

①确定（dìng）信息安（ān）全管理方针。

②确定 ISMS( 信息安（ān）全管理体系) 的范围（wéi）

③进行风险（xiǎn）分析（xī）。

④选择控制目标（biāo）并进行控制。

⑤建立业务（wù）持续计划。

⑥建立并实（shí）施安全管（guǎn）理体系。

 建立（lì）信息安全管理体系（xì）的作用：

 任（rèn）何组织，不（bú）论它在信息技术方面（miàn）如何努力以及采纳（nà）如何（hé）新的信息（xī）安全技术，实际（jì）上（shàng）在信息安全管理（lǐ）方（fāng）面都还存在漏（lòu）洞，例如：

· 缺少（shǎo）信息安全管理论（lùn）坛（tán），安全（quán）导向不明（míng）确，管理支持不明显（xiǎn）； 

· 缺少跨部门的信息（xī）安全协调机（jī）制； 

· 保护特定资产以及完成特定安全（quán）过（guò）程的（de）职（zhí）责还（hái）不（bú）明确； 

· 雇员信息安全意识薄弱，缺少（shǎo）防范意识，外来人员（yuán）很（hěn）容易直接进入生产和（hé）工作场所； 

· 组（zǔ）织信息系统管理制度（dù）不够健全； 

· 组织信息系统主机房安全（quán）存在隐患（huàn），如：防火设施存在问题，与（yǔ）危险品仓库同处一幢办公楼（lóu）等（děng）； 

· 组织信息系统备份（fèn）设（shè）备仍有欠缺； 

· 组织信（xìn）息系统安全防范技术投入欠缺； 

· 软件知识产权保护欠缺； 

· 计算（suàn）机（jī）房、办公场所等物（wù）理防范措施欠缺； 

· 档案、记录等缺少可靠贮存（cún）场所； 

· 缺少（shǎo）一旦发生（shēng）意外时的（de）保证生产经营连（lián）续性的措施和计划； 

        ……等等。

为什么要建立和实施ISO27001信（xìn）息安全管理体（tǐ）系认（rèn）证（2）

其实，组织可以参照（zhào）信息安全管理（lǐ）模型，按（àn）照先进的信息安全管理标（biāo）准（zhǔn） BS7799 标准建立组（zǔ）织完（wán）整的信（xìn）息（xī）安全（quán）管理体系并实施与保持（chí），达到动态的、系统的、全（quán）员（yuán）参与（yǔ）、制度化的、以（yǐ）预防为主的信息（xī）安全管理方式，用较低（dī）的成（chéng）本，达到可（kě）接受的信息（xī）安全水平，就可以（yǐ）从（cóng）根本上（shàng）保（bǎo）证业务（wù）的（de）连（lián）续性。组织建立、实施与保持信（xìn）息安全管理体系（xì）将会产生（shēng）如下作用：

· 强化（huà）员工的信息安全意识，规（guī）范组织信息安全行（háng）为； 

· 对组织的关（guān）键（jiàn）信（xìn）息（xī）资产进行全面系（xì）统的保护（hù），维持竞争优势（shì）； 

· 在（zài）信（xìn）息（xī）系（xì）统（tǒng）受到（dào）侵（qīn）袭（xí）时，确保业务持（chí）续开展（zhǎn）并将损失降到较低程度（dù）； 

· 使组织的生意伙伴和客户对组织充满信心； 

· 如果通过体（tǐ）系认证，表明（míng）体系符合标准，证明组（zǔ）织有能力保障（zhàng）重要信息，提高（gāo）组（zǔ）织（zhī）的名度与信任度； 

· 促使管理层坚（jiān）持（chí）贯彻信息安（ān）全（quán）保障体系。 

BS7799标（biāo）准概述：

· 1995 年，英（yīng）国（guó）贸工部根据英国（guó）国内企业对信息安全日益高（gāo）涨的呼（hū）声（shēng），组织大企业的信（xìn）息安全经理们，制定了世界上（shàng）第一个信息安全（quán）管理体（tǐ）系标准 BS7799-1 ： 1995 《信息安全管理实施规则（zé）》，作为工商业和大、中、小型组织（zhī）实施信息安（ān）全管理的指南（nán）。由于该标准采用建议和指导方式编写，因而不宜作为认（rèn）证标准使用。 

· 1998 年，为了适应（yīng）第三方认证的需要，英国（guó）又制定了第（dì）一个信息安全管理体系认证标准 --BS7799-2 ： 1998 《信息安（ān）全管理体系规范》，作为对一（yī）个组织的全（quán）部（bù）或部分（fèn）信息安（ān）全管理体系进行评审认证的依据标准。 

· 1999 年，鉴于计算机（jī）和信息处理技术，尤其是网络和通信领域应用的（de）迅速（sù）发展，英国（guó）又对信息安全管（guǎn）理体系标（biāo）准进行了修订。修（xiū）订后的 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 分（fèn）别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的（de） 1999 版标（biāo）准进（jìn）一步强调了组织在商务工作中所（suǒ）涉及（jí）的信息安全和信息安全责任（rèn）。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一对配套（tào）标（biāo）准， BS7799-1 ： 1999 为如何（hé）建立（lì）和实施（shī）符合 BS7799-2 ： 1999 标准（zhǔn）要（yào）求（qiú）的信息安（ān）全管理体系提供了较（jiào）佳（jiā）的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成（chéng）为（wéi）国际标准 -- ISO/IEC 17799 ： 2000 《信息技术（shù）—信息安全（quán）管理实施规则》，另外， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作为蓝本修（xiū）订后成为可（kě）用于认证（zhèng）的 ISO/IEC 的《信息安全管理体系规范（fàn）》。 

信息安全认证是实现信息安全（quán）目（mù）标的较（jiào）佳途径（jìng）：

BS7799-2：2002信息安（ān）全管理体系规（guī）范向（xiàng）组织提出了一系列（liè）认证的要求，在总则中提出组织应建（jiàn）立（lì）并保持一（yī）个文件（jiàn）化（huà）的信息（xī）安全管理体系，阐述（shù）被保护的资（zī）产（chǎn）、组织风险管理的渠（qú）道、控制目（mù）标及控制方式和需要的保证等（děng）级；通（tōng）过建立管理架（jià）构并加以实施（shī）来（lái）达到（dào）识别控制目标和控制方式，并（bìng）形成文件（jiàn）和（hé）记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全（quán）方针：为信息安全提供管理指导（dǎo）和（hé）支持（chí）； 

· 组织安全：建立信息安全架构，保证组（zǔ）织的（de）内（nèi）部（bù）管（guǎn）理；被第三方访问或外（wài）协时（shí），保障组织的信息安全； 

· 资产的（de）归类与控制：明（míng）确（què）资产责任，保持对组（zǔ）织资产的适当保护；将信息（xī）进行归类，确保信息资产受到适当程度（dù）的保护； 

· 人员安全（quán）：在（zài）工作说明和资源方面，减少因（yīn）人为错误（wù）、盗窃、欺诈和设施误用造成的风险（xiǎn）；加强用户培训，确（què）保用户清楚知（zhī）道信息安全的危险（xiǎn）性（xìng）和相关（guān）事项，以便在（zài）他们的日常工（gōng）作中支持组织的（de）安全方（fāng）针；制定安全事故或故障的反应程序（xù），减少由（yóu）安全事（shì）故（gù）和故障造成的损失（shī），监控安全事件并从这种事（shì）件中吸取（qǔ）教训（xùn）； 

· 实物与环（huán）境安全：确定安全区域，防止非授权访问、破坏、干（gàn）扰（rǎo）商务场所（suǒ）和信息（xī）；通过保障设备安全，防止资产的丢失、破（pò）坏、资产危害及商务活动的中断（duàn）；采用通用的（de）控制方（fāng）式，防止（zhǐ）信息或信息（xī）处理设施损坏或失窃； 

· 通信和操作方式管理：明确操作程序及其责任，确保信息处（chù）理设（shè）施的正确、安全操作；加强系（xì）统策划与（yǔ）验收（shōu），减少系（xì）统失效风险；防范恶意（yì）软件以保持软件和信息（xī）的完整性；加强内（nèi）务管理以（yǐ）保持信息（xī）处理和通讯服务（wù）的完整性和（hé）有效（xiào）性通过 ; 加强网络管理（lǐ）确保网络中的信息安全及其辅助设施受到保护；通（tōng）过（guò）保护媒体处理（lǐ）的（de）安全 , 防止资（zī）产（chǎn）损坏和商（shāng）务活动的（de）中断；加强信息（xī）和软件的交换（huàn）的管（guǎn）理，防止组织间在交换（huàn）信息时发生（shēng）丢失、更（gèng）改和误用（yòng）； 

· 访问控制：按（àn）照访问控制的商务（wù）要（yào）求，控制（zhì）信息访问；加强（qiáng）用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网（wǎng）络（luò）访问（wèn）控制，保护网（wǎng）络服务程序；加强操作（zuò）系统访问控制 , 防止非授（shòu）权（quán）的计算机访问；加强应用访问控制，防止非授权访问（wèn）系（xì）统中的信息；通过监控系统的访（fǎng）问（wèn）与使用，监测非授权行为；在移动式计算和（hé）电传工（gōng）作方面 , 确保使用移（yí）动式（shì）计算和电传工作设施的信息安（ān）全； 

· 系统开发与维护（hù）：明确系统安全要求，确保（bǎo）安全（quán）性（xìng）已构成信息系统的一部份；加强应用系统（tǒng）的（de）安全，防止应用系统用户数（shù）据的丢失、被修（xiū）改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性；加强系统（tǒng）文件的安（ān）全，确保 IT 方案及其支持（chí）活（huó）动（dòng）以安全（quán）的方式进行（háng）；加强开发和支（zhī）持过程的安全（quán），确保应用系统软件（jiàn）和（hé）信息的安全； 

· 商务连续性管理（lǐ）：防止商务活动的（de）中断（duàn）及保护关键（jiàn）商务（wù）过程不（bú）受重大失误或灾难事故的影响； 

· 符合：符合法（fǎ）律法规要求，避免刑法、民法、有关法令法规或合同（tóng）约（yuē）定事宜及其他安全（quán）要求（qiú）的规定相抵触；加强安全方针和技术符合性评审（shěn），确保体系按照组织的安全方针（zhēn）及标（biāo）准执行；系统（tǒng）审核考虑因素，使（shǐ）效果较（jiào）大化（huà） , 并使系统审核过（guò）程的影响较（jiào）小化（huà）。 　 

在国际标准 ISO/IEC17799 给出了为实（shí）现（xiàn）信息安全认证所（suǒ）需的（de）各项措施的详细指（zhǐ）导，具（jù）有很强的（de）可操（cāo）作性（xìng）和指导性。

归（guī）根（gēn）结底（dǐ），信息安全工作的目的就是（shì）在（zài）法律、法（fǎ）规、政策的（de）支持与指导下，通过采用合适的安全技术（shù）与安全管（guǎn）理措施，提供安全需求的保证，而 BS7799 信息安全认证标（biāo）准正是（shì）总和了（le）这些要求。组织可以根据自身特点（diǎn），在 ISO/IEC 17799 指导下（xià），实现信（xìn）息安全的要求。

 ISO27001：2005 《信（xìn）息（xī）安全管理体（tǐ）系要求》

 ISO27001 ： 2005 《信息（xī）安（ān）全管理体系要求》是关（guān）于信息（xī）安（ān）全管理的标准，是标准不是方法（fǎ），达（dá）到这些标准的要求并（bìng）不难，重要（yào）的是用什么方法去实现。企业应将实施标（biāo）准作为改善（shàn）内部管理的一次机会，不应该将标（biāo）准做为一种简单的模（mó）式对现有（yǒu）流程运（yùn）作进行套用，应对现有的组织运作流（liú）程进行详细分析（xī），有针对性地设（shè）计（jì）并改善现有（yǒu）管理体系、改善薄弱环（huán）节、改（gǎi）善运作流程（chéng）及内部沟（gōu）通，并有效地（dì）将先进的管（guǎn）理（lǐ）思（sī）想（xiǎng）融合（hé）到（dào）具体的实施程（chéng）序（xù）中，才能发挥标准的真（zhēn）正（zhèng）作用。

获得认证证书不是较终目的，建立有责（zé）、有序、有（yǒu）效（xiào）的信息安全管理体系，提高员工的信息安全意识，不断获取并运用先进的管理方法和技术手段才能使企业的信息安全管理（lǐ）水平得（dé）以持（chí）续的（de）发展和提升。