信息安全 (Information security): 是指信息（xī）的保（bǎo）密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可（kě）用性 (Availability) 的保持。

•  保密（mì）性：为保障信息仅仅为（wéi）那些被授权使用的人获取。

 信息的保密性是针（zhēn）对信息（xī）被（bèi）允许访问（ Access ）对（duì）象的多少而不同，所有人员都可（kě）以访（fǎng）问的信息为公开信息，需要限制访问的信（xìn）息一般为敏感（gǎn）信息或（huò）秘密，秘密可以根（gēn）据信息（xī）的重要性及保密要求分为不（bú）同的密级（jí），例（lì）如国家根据秘密（mì）泄露对（duì）国（guó）家经（jīng）济、安全利（lì）益产生的影响（后果）不同（tóng），将国家秘密分为秘密、机密和绝密三个等级，组织可根据其信息（xī）安全的（de）实（shí）际（jì），在符合（hé）《国家保密法》的前提下将其信息划分为不（bú）同的密级；对于具体的信息（xī）的保密性有时效性，如秘密到期（qī）解密（mì）等（děng）。

 •  完整性（xìng）：为保护信息及（jí）其处理方法的准确性和（hé）完（wán）整性。

信息完整性一方面（miàn）是（shì）指信息在利（lì）用、传输、贮存等过程（chéng）中不被（bèi）篡改、丢失、缺（quē）损等，另一方面是指信息处理的方法（fǎ）的正确（què）性。不正当（dāng）的操（cāo）作，如（rú）误删除文件，有可能造成重要文件的丢失。

 •  可（kě）用性：为保（bǎo）障授权（quán）使用人在需要时（shí）可以获取（qǔ）信息和使用相关的资产。

信息的可用性是指信息及相关的信息资产（chǎn）在授权（quán）人需要的时候，可以（yǐ）立即获得。例如（rú）通信线路中断（duàn）故障会造成信（xìn）息的在一段时间（jiān）内不可用（yòng），影响正常（cháng）的商业运作，这是信息可用性的破坏。不同类（lèi）型的信息及相应资（zī）产的（de）信（xìn）息安全在保密性、完整性及可用性方面关（guān）注点不同，如组织的专有技术、市（shì）场营销计划等商业秘密（mì）对组织来讲保守机密尤其重要；而对于工业自动控制系统，控制信息的（de）完整性相对（duì）其保密性重要得（dé）多。

为（wéi）什么需要信息安全？

信（xìn）息、信（xìn）息处理过程及对信（xìn）息起支持（chí）作用的信息（xī）系统和信息网络都是（shì）重要（yào）的商务资产。信息的保密性、完整性和（hé）可（kě）用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是（shì）至关重要的。然（rán）而，越来越多的（de）组织及其信（xìn）息系统和网络面（miàn）临（lín）着包括计算机（jī）诈骗、间谍、蓄（xù）意破（pò）坏、火灾、水灾等大范围的安全威胁，诸如计算（suàn）机病毒、计算（suàn）机入侵、 Dos 攻击等手段造成（chéng）的信息灾难已变（biàn）得更（gèng）加（jiā）普遍 , 有计划而不易被察（chá）觉。组织对信（xìn）息系统和信息服务的依（yī）赖意味着更易受到安全威胁的破坏，公（gōng）共（gòng）和私人网络的（de）互连及信息资源的共享增大了实现（xiàn）访（fǎng）问控（kòng）制（zhì）的（de）难度。许多（duō）信息系统本身（shēn）就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限（xiàn）性（xìng），所以信息安全的实现须得到管理和程序控制（zhì）的适当支（zhī）持。确定应采（cǎi）取哪些控制方式（shì）则需要（yào）周（zhōu）密计（jì）划，并注意（yì）细节。信息安全管理至少（shǎo）需要组织中（zhōng）的（de）所有雇员的参（cān）与，此（cǐ）外还（hái）需要供应商、顾客或股东的（de）参与和信（xìn）息安全的专家建议。在信（xìn）息系统（tǒng）设计（jì）阶段就将（jiāng）安（ān）全要（yào）求和控制一体化（huà）考虑（lǜ），则成本会（huì）更低、效率会更（gèng）高（gāo）。

 BS7799的信（xìn）息（xī）管理过程：

①确定信息安全（quán）管理方针。

②确定 ISMS( 信息安全管理体系) 的范围

③进行风险分析。

④选（xuǎn）择控制目标并进行控制。

⑤建立业务（wù）持续计划。

⑥建立并实施安全管理体系。

 建立信息安全管理体系的作用：

 任（rèn）何（hé）组织（zhī），不论它在信息技术（shù）方面如（rú）何努力以及采纳如何新的信息安全技术，实际上在信（xìn）息（xī）安全（quán）管理方面都还存在（zài）漏洞，例如：

· 缺少信息安全管理（lǐ）论坛，安全导向不（bú）明确，管（guǎn）理支持不（bú）明显（xiǎn）； 

· 缺少跨部门的信（xìn）息安全协调机制； 

· 保护特定资产以（yǐ）及（jí）完成（chéng）特定安全过程（chéng）的职责还不明（míng）确（què）； 

· 雇员信息（xī）安全意识薄弱，缺（quē）少防范意（yì）识，外来人员很容易直接（jiē）进入生（shēng）产和工作场所； 

· 组织信息系统管理制度（dù）不够健全； 

· 组（zǔ）织信息系统主机房安全存在隐患（huàn），如：防火设施（shī）存在问题，与（yǔ）危险品（pǐn）仓库（kù）同处一幢办公楼等； 

· 组织（zhī）信（xìn）息系统（tǒng）备份设备仍有欠（qiàn）缺； 

· 组织（zhī）信息系统安全防范技（jì）术投入欠缺； 

· 软件知识（shí）产权保护欠缺； 

· 计算机房（fáng）、办公场所等物理防范措施欠缺； 

· 档案（àn）、记录等（děng）缺少可靠贮存场所； 

· 缺少一（yī）旦发生意外时的（de）保证生产经营连续性的措施（shī）和计（jì）划； 

        ……等（děng）等。

为什么要建立和实（shí）施ISO27001信息安全管理体系认证（zhèng）（2）

其实，组织可以参照信息安全管理模型，按照先进的信（xìn）息安全管（guǎn）理标准 BS7799 标准建立组织完整的信息安全管理体（tǐ）系并（bìng）实（shí）施与保（bǎo）持，达到动态的、系（xì）统的（de）、全员参与、制度化的、以预防为（wéi）主的（de）信息（xī）安（ān）全（quán）管（guǎn）理方式，用较低的（de）成本（běn），达到（dào）可接受的信（xìn）息安全水平，就可以从根（gēn）本上保证业务的（de）连续（xù）性。组织建立、实（shí）施与保持信息安全管理（lǐ）体系将会产生如下作用：

· 强化员工的信息安（ān）全意识，规范组织（zhī）信息安（ān）全（quán）行为； 

· 对组织的关键信息资产（chǎn）进行（háng）全面系统的保护，维（wéi）持竞争优势； 

· 在信息系统受到侵（qīn）袭时（shí），确保业务持续开展并（bìng）将损（sǔn）失降（jiàng）到较（jiào）低程度； 

· 使（shǐ）组（zǔ）织（zhī）的生意伙伴和客户对组织（zhī）充满信心（xīn）； 

· 如果通过体系认证，表明体（tǐ）系符合标准，证（zhèng）明组织有能（néng）力保障重要信息，提高组（zǔ）织的名度与信任度； 

· 促（cù）使（shǐ）管（guǎn）理层（céng）坚持贯（guàn）彻信息安全保障体系。 

BS7799标（biāo）准概述：

· 1995 年，英国贸工部根（gēn）据英国国（guó）内企（qǐ）业（yè）对信息安全（quán）日（rì）益高涨的呼声，组织大企业的信息（xī）安（ān）全经理们，制定了世界上（shàng）第一个信息安全管理体系标准 BS7799-1 ： 1995 《信（xìn）息（xī）安全管理（lǐ）实（shí）施规则（zé）》，作为工商（shāng）业和大、中、小（xiǎo）型组织实施信息安全管（guǎn）理的指（zhǐ）南。由于该标（biāo）准（zhǔn）采用建（jiàn）议和指导方式编写，因（yīn）而不宜作为认证标准使用。 

· 1998 年，为（wéi）了适（shì）应第（dì）三方认证（zhèng）的需要，英国又制定了第（dì）一个信息安全管理体系认证标准 --BS7799-2 ： 1998 《信息（xī）安全管理体系（xì）规范》，作为（wéi）对（duì）一个组织（zhī）的全部或（huò）部分（fèn）信息（xī）安全管理体系进行评审认证的依（yī）据标准。 

· 1999 年，鉴于计算机（jī）和信息处理技术，尤其是网络和通信领域应用的迅（xùn）速发展，英国又对信息（xī）安全管理体系标准（zhǔn）进行了修订。修订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修订的 1999 版（bǎn）标准进一步强调了组（zǔ）织在商务工作中所涉及的信息安全和信息（xī）安全责任（rèn）。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一（yī）对配套标准， BS7799-1 ： 1999 为如何建（jiàn）立和实（shí）施符合 BS7799-2 ： 1999 标（biāo）准要求的信息安（ān）全管理（lǐ）体系提供了较佳的（de）应（yīng）用建议。 

· 2000 年（nián） 12 月（yuè）， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正（zhèng）式采纳成为（wéi）国际标准 -- ISO/IEC 17799 ： 2000 《信息（xī）技术（shù）—信息安全管理实施规（guī）则》，另外， BS7799-2 ： 1999 也即将（jiāng）于 2002 年底被 ISO/IEC 作为（wéi）蓝本修订（dìng）后成为可用于认证的（de） ISO/IEC 的《信息安全管理体系规范》。 

信息安全认（rèn）证（zhèng）是实现信息安全目标的（de）较佳途（tú）径（jìng）：

BS7799-2：2002信息安全管理体系规范向组织（zhī）提出了一系（xì）列认（rèn）证（zhèng）的要求，在总（zǒng）则中（zhōng）提出（chū）组织应建（jiàn）立并（bìng）保（bǎo）持（chí）一个文件化的信息安全管理体系，阐述被（bèi）保护的资产、组织风险管理的渠道、控（kòng）制目标及控制（zhì）方（fāng）式和需要（yào）的保证等级；通过（guò）建立管理架构并（bìng）加（jiā）以实施来达到（dào）识（shí）别控制目标和控制方式（shì），并形成文件和记录。

BS7799-2：2002的控（kòng）制细则包括（kuò）10个方面： 　

· 安全方（fāng）针：为信息安全提供（gòng）管理指（zhǐ）导和支持； 

· 组织安全：建（jiàn）立信息安全架构，保（bǎo）证组织的内部管（guǎn）理（lǐ）；被（bèi）第三方访问或外协时（shí），保障组织的信息安全（quán）； 

· 资（zī）产的归类与控（kòng）制：明确资产责任，保持对（duì）组织资产的适当保护；将（jiāng）信（xìn）息进行归类，确保信息资产受到适当程度（dù）的保护； 

· 人员安全：在工作说明和资源方面，减（jiǎn）少因人为错误（wù）、盗窃、欺诈和设（shè）施误用造成的风险；加强（qiáng）用户培训，确保（bǎo）用户清楚知道信息安全的危险（xiǎn）性（xìng）和相（xiàng）关事项，以便在他们（men）的日常工（gōng）作中支持组织的安全方针；制（zhì）定安（ān）全事故或故障的反应程序，减少由安（ān）全事故和故障造（zào）成的损失，监控安全事件并从这种事件中吸取（qǔ）教训； 

· 实物与（yǔ）环境安全：确定安全区域，防止（zhǐ）非（fēi）授权访问、破坏、干扰商务场（chǎng）所和信息（xī）；通过保障设备安全，防止资产的丢失、破坏、资产危害及商务活（huó）动（dòng）的中断；采用通用的（de）控（kòng）制方（fāng）式（shì），防止信息或信（xìn）息处理设（shè）施损坏（huài）或失窃； 

· 通信和操作方式（shì）管（guǎn）理：明确（què）操作程序及其责任（rèn），确（què）保信息处理设施的正确、安全（quán）操作；加强系（xì）统（tǒng）策划与验（yàn）收，减少系统失效（xiào）风（fēng）险；防范恶意软件以保持（chí）软件和信息的完整性；加强内务（wù）管理以保持信息处理和通讯服务的完整（zhěng）性（xìng）和有效性通过 ; 加强网络管理确保网络中的（de）信息安全及其辅助设施受（shòu）到保护；通（tōng）过保护媒（méi）体处理的安全 , 防止资产损坏和商务活动的（de）中断；加强信息（xī）和软件的交换的管理，防止组织间在交换信息时（shí）发生丢失、更（gèng）改和误（wù）用（yòng）； 

· 访问控（kòng）制：按照访问控制的商（shāng）务要（yào）求，控制信息访问；加强用（yòng）户（hù）访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户（hù）访（fǎng）问；加强网络访问控（kòng）制，保护网络服务程序；加强操作系（xì）统（tǒng）访（fǎng）问控（kòng）制 , 防止非授权的计算机访问；加强应用（yòng）访问控制，防止非授（shòu）权访问（wèn）系统中的信息；通过监控系统（tǒng）的访问与使（shǐ）用，监（jiān）测非授权行为（wéi）；在移动式计算和电传工作（zuò）方面 , 确保使用移动式（shì）计算和（hé）电传工作（zuò）设施（shī）的（de）信息安全； 

· 系统开发与维（wéi）护（hù）：明确系（xì）统安全要（yào）求，确（què）保（bǎo）安全性已构（gòu）成信息系统的一部份；加强应用系统的安全，防止应用系（xì）统用（yòng）户（hù）数据的丢失、被修改或误（wù）用（yòng）；加强密码技术控（kòng）制，保护信息的保（bǎo）密性、可靠性（xìng）或完（wán）整性；加强系统文件的安（ān）全，确保 IT 方（fāng）案及其支（zhī）持活动以安全（quán）的方式进行；加强开发和（hé）支持过程的（de）安全，确保应（yīng）用系（xì）统（tǒng）软件和信息（xī）的安（ān）全； 

· 商务连续性管理：防止（zhǐ）商务活动的（de）中断及保（bǎo）护关键商务（wù）过程不（bú）受重大失误或灾难（nán）事故（gù）的影响； 

· 符合：符合法律法规（guī）要（yào）求，避免刑法（fǎ）、民法、有关法令法规或（huò）合（hé）同约定事宜（yí）及其他安全要求的规定相抵触；加强安全方（fāng）针和技术符合（hé）性评审，确保（bǎo）体系（xì）按照组织的安全方针及标准执行（háng）；系统（tǒng）审核考虑因素，使（shǐ）效果较大化 , 并使系统审（shěn）核过程的影响较小化（huà）。 　 

在（zài）国（guó）际标准 ISO/IEC17799 给出了为实现信息安全认证所需（xū）的（de）各项措施的（de）详细指（zhǐ）导，具（jù）有很（hěn）强的（de）可操（cāo）作性和指导性。

归根结（jié）底，信息安（ān）全工作的目的就是在法律、法规、政（zhèng）策的支持与指（zhǐ）导下，通过（guò）采用（yòng）合适的（de）安全技（jì）术与（yǔ）安全管理（lǐ）措施（shī），提供安全需求的保（bǎo）证，而（ér） BS7799 信息安全认证标准正（zhèng）是总和（hé）了这些要求（qiú）。组织可（kě）以根（gēn）据自身（shēn）特点，在 ISO/IEC 17799 指导（dǎo）下，实现信息安全的要求。

 ISO27001：2005 《信息安（ān）全（quán）管理体（tǐ）系（xì）要求》

 ISO27001 ： 2005 《信息安全（quán）管理体系（xì）要求（qiú）》是关于信息安全管理的标准，是标准不是方法（fǎ），达（dá）到这些标准的要求并不（bú）难，重（chóng）要的（de）是用什么方法去实现。企（qǐ）业应将实（shí）施标准作（zuò）为（wéi）改（gǎi）善内（nèi）部管理的一次机会，不应该将标准（zhǔn）做为（wéi）一种（zhǒng）简单的模式对（duì）现有流程运作（zuò）进行套用（yòng），应对现有（yǒu）的组织运作流程进行（háng）详细分析，有针对性地设计并改善（shàn）现有管理体系、改善薄弱（ruò）环节、改善（shàn）运作流程及内部沟通，并有效地（dì）将（jiāng）先进的（de）管（guǎn）理思（sī）想融合到具体的（de）实施程序中，才能发挥标准的真正作用（yòng）。

获（huò）得认证证书不是较（jiào）终目的，建立（lì）有（yǒu）责、有序、有（yǒu）效（xiào）的信息安全管理体系，提高员（yuán）工的信（xìn）息安（ān）全意（yì）识，不断（duàn）获取并运用先进的管理方（fāng）法和技术手（shǒu）段才（cái）能使企（qǐ）业的信息安全管理（lǐ）水平得以（yǐ）持（chí）续的（de）发展和（hé）提升。