信息安全 (Information security): 是指（zhǐ）信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可（kě）用性 (Availability) 的保持（chí）。

•  保密性：为（wéi）保障信息仅仅为那些被授权使用的人获取。

 信（xìn）息的保密性是针（zhēn）对信息被允许访问（wèn）（ Access ）对象（xiàng）的多少而不同，所有（yǒu）人员都可以访问的（de）信（xìn）息为公开（kāi）信（xìn）息，需要（yào）限制访问的信息一（yī）般（bān）为敏感信（xìn）息或秘密，秘密可（kě）以根据信息（xī）的重要（yào）性及保密要求分为不同的密级，例如（rú）国家根据秘密泄（xiè）露对国（guó）家经济、安全利（lì）益产生的影（yǐng）响（后果）不同，将国家秘密（mì）分（fèn）为秘密、机密和绝密（mì）三（sān）个等（děng）级，组织可根（gēn）据（jù）其信息（xī）安全的实际，在符合《国（guó）家保密法》的前（qián）提下将其信息划分为不同的密级；对于具体的信息的保密性有时效（xiào）性，如（rú）秘（mì）密（mì）到期（qī）解密等。

 •  完整性（xìng）：为保（bǎo）护（hù）信息及其处理方法的（de）准确性和完整性。

信（xìn）息完整性一方面是（shì）指信息在利用、传输、贮存（cún）等过程中不被篡改、丢（diū）失（shī）、缺损等，另一方面是指信息（xī）处理的方（fāng）法的正（zhèng）确性。不正（zhèng）当的操作，如误删除文件，有可能造成（chéng）重（chóng）要（yào）文件的丢失（shī）。

 •  可（kě）用性：为保障授（shòu）权使用人在需要时（shí）可以获取信息（xī）和使用相（xiàng）关（guān）的资产。

信息（xī）的可用性（xìng）是指信息及（jí）相关（guān）的信息资产（chǎn）在授权人（rén）需要的时候，可（kě）以（yǐ）立即获（huò）得。例（lì）如（rú）通信线路中断故障会（huì）造（zào）成信息的在一段时（shí）间内不（bú）可用，影响正常的商（shāng）业运作，这是信息可用性的破坏。不同类型的（de）信（xìn）息（xī）及相应资产的（de）信息安全在保密性（xìng）、完整性及（jí）可用性方（fāng）面（miàn）关（guān）注点不同，如组织（zhī）的（de）专有技术、市场（chǎng）营销计划等商（shāng）业秘密对组织来讲保守机密尤（yóu）其重要；而对于工业自动（dòng）控制系统，控（kòng）制信息的完（wán）整性相对（duì）其保密性重要得多。

为什么（me）需要（yào）信息安全（quán）？

信息（xī）、信息（xī）处理过程及对（duì）信息起支持（chí）作用的信息系统（tǒng）和信（xìn）息网络都是（shì）重要的（de）商（shāng）务资产。信息的保密性（xìng）、完整性（xìng）和可用性（xìng）对保持竞（jìng）争（zhēng）优势、资金流动、效益、法律符合性（xìng）和（hé）商业形象（xiàng）都是至关重要的。然（rán）而（ér），越来越多（duō）的组织（zhī）及（jí）其信息（xī）系（xì）统和（hé）网络面（miàn）临着（zhe）包括计算机（jī）诈骗、间谍、蓄意破坏、火灾、水灾等大范围（wéi）的（de）安全威（wēi）胁，诸（zhū）如计算（suàn）机病毒（dú）、计算机入侵、 Dos 攻击等（děng）手（shǒu）段造成的信息灾（zāi）难已变得更加普遍（biàn） , 有计划而不易被察觉。组（zǔ）织对信（xìn）息系统和信（xìn）息服（fú）务的依赖（lài）意味着（zhe）更易受到安全（quán）威胁的破坏，公共和私人网络的互连及（jí）信息资（zī）源的共（gòng）享增大了实现（xiàn）访问（wèn）控制的（de）难度。许多（duō）信（xìn）息系统本身就不是按照安全系统的要（yào）求来设计的（de），所以仅依靠技（jì）术手段来实现（xiàn）信息安（ān）全有其局限（xiàn）性，所以信息安全的实现须得到管理和（hé）程（chéng）序（xù）控制的适当支（zhī）持。确（què）定应（yīng）采取（qǔ）哪些控制方式则需要周密（mì）计划，并（bìng）注意细节。信息安全（quán）管理（lǐ）至少需要组织中的（de）所有雇员的（de）参与，此外还需要（yào）供应商、顾（gù）客（kè）或股东的参与（yǔ）和信息安全的专家建议。在信息系（xì）统设计（jì）阶（jiē）段就将安（ān）全要求和控制一体（tǐ）化考虑，则（zé）成本会更低、效率（lǜ）会（huì）更（gèng）高。

 BS7799的信息管理过程：

①确定信息安全（quán）管理方（fāng）针（zhēn）。

②确（què）定 ISMS( 信息安全管理体系) 的范围

③进（jìn）行风（fēng）险（xiǎn）分析（xī）。

④选择控制（zhì）目标并进行控制。

⑤建立业务（wù）持续计划。

⑥建立并（bìng）实施（shī）安全（quán）管（guǎn）理（lǐ）体系（xì）。

 建（jiàn）立信息安全管理体系的（de）作用：

 任何组织（zhī），不论它在信（xìn）息技术方面如何努力以及采纳（nà）如（rú）何新（xīn）的信息安全技术，实际（jì）上在（zài）信息安全（quán）管理方（fāng）面都还（hái）存（cún）在漏洞，例（lì）如：

· 缺少信息（xī）安全管（guǎn）理论坛，安全（quán）导向不明（míng）确，管（guǎn）理支持（chí）不明显； 

· 缺（quē）少跨部门的信息安全（quán）协调机制； 

· 保护特定资产以及完成特定（dìng）安（ān）全过程的（de）职责还不明确； 

· 雇员（yuán）信息安全意（yì）识薄弱，缺少防范意识，外来人员很容（róng）易直接进入生（shēng）产和工作场所； 

· 组织（zhī）信息系统管理制度不够健全； 

· 组织信息系统主机房安全（quán）存在隐患，如：防火设（shè）施存在问题（tí），与危险品（pǐn）仓库（kù）同处一幢办（bàn）公楼（lóu）等； 

· 组织信息系统备份（fèn）设备仍有欠缺； 

· 组织（zhī）信息系（xì）统（tǒng）安（ān）全防范技（jì）术投入欠（qiàn）缺； 

· 软（ruǎn）件知识产权保护欠（qiàn）缺； 

· 计算机房、办（bàn）公场所等物理防范措施欠缺； 

· 档案（àn）、记（jì）录等缺少可靠贮存场所； 

· 缺（quē）少一旦发（fā）生意外时的保证生产经（jīng）营连续性（xìng）的措（cuò）施（shī）和计（jì）划； 

        ……等（děng）等。

为什么（me）要建立（lì）和实施ISO27001信息安全管（guǎn）理体（tǐ）系认（rèn）证（2）

其实，组（zǔ）织可（kě）以参照（zhào）信息安（ān）全（quán）管理模型，按照（zhào）先（xiān）进的信（xìn）息安全（quán）管（guǎn）理标准 BS7799 标准建立组（zǔ）织完整（zhěng）的信息安全管（guǎn）理体（tǐ）系并实施与保持，达到动态的、系（xì）统的、全员参与（yǔ）、制度化的、以预防（fáng）为主的信息安（ān）全管理方式，用较低的成本，达到可接受的信息安（ān）全水平，就可（kě）以从（cóng）根本上保（bǎo）证业务的连续性（xìng）。组织建立、实施与保（bǎo）持信息安（ān）全管理（lǐ）体系将会产生如（rú）下作用：

· 强化员工的信（xìn）息安全意识，规（guī）范组织信息安全行为； 

· 对组织的关键信息资产（chǎn）进行（háng）全面系统的保护，维持竞争优势； 

· 在信息系统受到侵袭时，确保业务持（chí）续开展并（bìng）将损失降（jiàng）到较低程度； 

· 使组（zǔ）织的生（shēng）意伙伴（bàn）和（hé）客户对（duì）组织充（chōng）满信心； 

· 如果通过体系认证，表明（míng）体系符合标（biāo）准，证明组织（zhī）有能力保障重要信息（xī），提高组织（zhī）的名度与信任度； 

· 促使管理层坚持贯彻信息安全保（bǎo）障体系。 

BS7799标准概述：

· 1995 年（nián），英国贸工部根据英国国内企业对（duì）信息安全日益高涨的（de）呼声，组（zǔ）织大企（qǐ）业的信（xìn）息安全经理（lǐ）们，制定（dìng）了世界上第一个信（xìn）息安全管理（lǐ）体（tǐ）系标准 BS7799-1 ： 1995 《信息安全管（guǎn）理实（shí）施规则》，作（zuò）为（wéi）工（gōng）商业（yè）和大、中、小型组（zǔ）织实施信息安全管理的指南。由于该（gāi）标准采用建议和指导（dǎo）方式编写，因而不（bú）宜作为认证标准使用。 

· 1998 年，为了（le）适应第三方（fāng）认证的需要，英国又制定了第一个信息安全管理体系（xì）认证标准 --BS7799-2 ： 1998 《信息安（ān）全管理体系规范》，作为对一个组织的（de）全部或部分（fèn）信息安全管（guǎn）理体系进行（háng）评审认证的依据（jù）标（biāo）准。 

· 1999 年，鉴于计（jì）算机（jī）和信息（xī）处理技术（shù），尤其是网络和通信领（lǐng）域应（yīng）用的迅速发展，英国又对信息安全（quán）管理体系标准进行了修订（dìng）。修订后的 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 分别（bié）取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调了组织在商务（wù）工（gōng）作（zuò）中（zhōng）所涉及的信息安（ān）全（quán）和信息安全责（zé）任（rèn）。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一（yī）对配套标准， BS7799-1 ： 1999 为如何建（jiàn）立（lì）和实（shí）施符合（hé） BS7799-2 ： 1999 标准要求的信息安全管理体系提供了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息技术—信息（xī）安（ān）全管（guǎn）理实施规则》，另外， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作为蓝本（běn）修订后成为可用于认证（zhèng）的 ISO/IEC 的《信息安全（quán）管理（lǐ）体系规范（fàn）》。 

信息安全认证是实（shí）现信息安全目标的较佳（jiā）途径：

BS7799-2：2002信息安全管理体系规范向组织（zhī）提出（chū）了一系列认证的要求，在总则中提（tí）出组织应建（jiàn）立并保持（chí）一个文（wén）件（jiàn）化的信息安全管理体系，阐述被保护的资产、组织风险管理的渠（qú）道、控制目标及控（kòng）制方（fāng）式和（hé）需要的保证等（děng）级；通过建立管理架构并（bìng）加以实施来（lái）达到识别控（kòng）制目标和控制方式，并形成（chéng）文件和记（jì）录。

BS7799-2：2002的控（kòng）制细则（zé）包括10个方面： 　

· 安全方针：为信（xìn）息安全提供管理指导和支（zhī）持（chí）； 

· 组织安全：建立信息安全架（jià）构，保证组（zǔ）织的内部管理；被第三方（fāng）访问或外协时（shí），保障组织的信息（xī）安全； 

· 资产的归类与（yǔ）控制：明确资产责任，保持对组织资产（chǎn）的适当保护；将信息进行归类，确（què）保信（xìn）息资（zī）产受到适当程度的保护（hù）； 

· 人员（yuán）安全：在工作说明和资源方面，减少（shǎo）因（yīn）人为（wéi）错误、盗窃、欺诈和设施误用造（zào）成的风险；加强用户培训，确保用（yòng）户（hù）清楚知道信息安全的危险（xiǎn）性和相（xiàng）关事项，以便在他们的日常工（gōng）作中支持组织（zhī）的安全方（fāng）针；制定安全事（shì）故（gù）或故障的反应程序，减（jiǎn）少由安全事故和故障造成的损失，监控安全事件并从这种（zhǒng）事件（jiàn）中吸取（qǔ）教训； 

· 实物与环境安（ān）全：确（què）定安全区（qū）域，防止（zhǐ）非授权访问、破坏（huài）、干扰商务场所和信息；通（tōng）过保障设备安全，防止资产的丢失、破坏、资（zī）产危害（hài）及（jí）商务活动的中断；采（cǎi）用通用的控制（zhì）方式，防（fáng）止信息或信（xìn）息（xī）处理（lǐ）设施损坏或失窃； 

· 通（tōng）信（xìn）和操（cāo）作方式管理：明确操作（zuò）程序及其责任（rèn），确保信息处理（lǐ）设施的正确、安全操作；加强系统策划与（yǔ）验收，减少系统（tǒng）失效风险；防范恶（è）意软件以保持软件和信息的完整性；加（jiā）强（qiáng）内（nèi）务管理以（yǐ）保持（chí）信息处理和通讯服（fú）务的完（wán）整（zhěng）性和有效性通过 ; 加强网络管理确保网络中的信（xìn）息安全及其辅助设施受到（dào）保护；通过保护（hù）媒体（tǐ）处理的安全（quán） , 防止资产（chǎn）损（sǔn）坏和商（shāng）务（wù）活（huó）动的中断；加强信息和软件的（de）交换的管（guǎn）理，防（fáng）止组织间在交换（huàn）信息（xī）时发生丢（diū）失、更改（gǎi）和（hé）误（wù）用； 

· 访问控制：按照访问控制的商务要求，控制信息访问；加（jiā）强用户（hù）访问管理，防止非授权访问信息系统；明确用户职责，防止（zhǐ）非（fēi）授权的用户访（fǎng）问（wèn）；加（jiā）强网（wǎng）络访（fǎng）问（wèn）控制，保（bǎo）护网络（luò）服务（wù）程序；加强操作（zuò）系（xì）统（tǒng）访（fǎng）问控（kòng）制 , 防止非授权的计算机访（fǎng）问；加强应（yīng）用访问控制，防止非授权访问系（xì）统（tǒng）中的信（xìn）息；通过监控（kòng）系统的访问与使用，监（jiān）测非授权行为；在移动（dòng）式计算和电传工（gōng）作方（fāng）面（miàn） , 确保使（shǐ）用移动式计（jì）算（suàn）和（hé）电（diàn）传工作设施的信息安全； 

· 系统（tǒng）开（kāi）发与维护：明（míng）确系统安（ān）全要（yào）求，确保安（ān）全性已构（gòu）成信息（xī）系（xì）统的一部份；加（jiā）强应用系统的安全，防止应用系统用户数据的（de）丢失、被修（xiū）改（gǎi）或误用；加强密码技术控制，保护信（xìn）息的保密性、可靠性或（huò）完整性；加强系统（tǒng）文（wén）件的安全，确保（bǎo） IT 方案（àn）及其支持活动以安全的方（fāng）式进行；加强（qiáng）开发和支持过程的安全，确保应用系统软件和信息的安全（quán）； 

· 商务连续性管理：防止商务活动的中断（duàn）及保护（hù）关键（jiàn）商务过（guò）程（chéng）不受重（chóng）大失（shī）误或灾难事故（gù）的影响； 

· 符合：符合法律（lǜ）法规（guī）要求，避免刑法、民法、有关（guān）法令法（fǎ）规或合同约定事宜及其他（tā）安全要求的规定相抵触；加强安全方针（zhēn）和技术符合性评审（shěn），确保体系按照（zhào）组织的安全方针及标准执行；系统审核（hé）考虑因（yīn）素，使（shǐ）效果较大化（huà） , 并使系统审（shěn）核过程（chéng）的影响较（jiào）小化。 　 

在国际标准 ISO/IEC17799 给出（chū）了为（wéi）实（shí）现信（xìn）息（xī）安（ān）全认（rèn）证所需的各（gè）项措施的详细指导，具有（yǒu）很强（qiáng）的可操（cāo）作性和指导（dǎo）性。

归根结底，信（xìn）息安全工作的目（mù）的就（jiù）是（shì）在法律（lǜ）、法规、政策的支（zhī）持（chí）与（yǔ）指导（dǎo）下，通过采用合适（shì）的安全（quán）技术与（yǔ）安全管（guǎn）理（lǐ）措施，提供安全需求的（de）保证，而 BS7799 信（xìn）息（xī）安全认证标准正是总和了这些要求。组织可以（yǐ）根据自身特点（diǎn），在 ISO/IEC 17799 指导下，实（shí）现信息安（ān）全（quán）的（de）要求。

 ISO27001：2005 《信息安全管理体系要（yào）求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信息安全管理的标准，是（shì）标准不是（shì）方法，达到这些标准（zhǔn）的要求并不难（nán），重（chóng）要的（de）是用什么方法去实现（xiàn）。企业应将实施标准（zhǔn）作为改善（shàn）内部管理（lǐ）的（de）一次机会，不应该将标准做为一种简单的（de）模（mó）式（shì）对（duì）现有流程（chéng）运作进行套（tào）用，应对现（xiàn）有的组织运作流程进行详细分析，有（yǒu）针（zhēn）对性地设计并改善现有管理体系、改善薄弱环（huán）节、改善运作流程及内（nèi）部沟通，并有（yǒu）效地将先进的管理思想融合到具体（tǐ）的实施程序（xù）中（zhōng），才能发（fā）挥标准的真正作用。

获得认证（zhèng）证书不是较（jiào）终目的，建立有责、有序、有效（xiào）的（de）信息安全管理体系（xì），提高员（yuán）工的信息安全（quán）意（yì）识，不（bú）断获取并运用先进（jìn）的管理方法和技术手段才能使企（qǐ）业的信息（xī）安全管理水平（píng）得（dé）以持续的（de）发展和提升。