信息（xī）安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为保（bǎo）障信息仅仅为（wéi）那些被（bèi）授权使（shǐ）用的人获取。

 信（xìn）息的保（bǎo）密性（xìng）是（shì）针对（duì）信息被允许访（fǎng）问（ Access ）对象（xiàng）的（de）多少而不（bú）同，所有人员都可以访问的信息（xī）为公开信息，需要限制访问的信息一般（bān）为敏感信（xìn）息（xī）或秘（mì）密，秘密可以根据信息的（de）重要性及保密（mì）要求分为不同的密级，例如国家（jiā）根据秘密（mì）泄露对国家（jiā）经济、安全（quán）利益产生的影响（后（hòu）果）不同（tóng），将（jiāng）国家秘密（mì）分为秘密、机（jī）密和绝密（mì）三个等级，组织（zhī）可根据其信息安全（quán）的实（shí）际，在符合《国家保密法》的（de）前提下将其信息划分（fèn）为（wéi）不同的密级；对于具体的信息的保密性有时（shí）效性（xìng），如（rú）秘密到期解（jiě）密等。

 •  完整（zhěng）性：为保护信息（xī）及其（qí）处（chù）理方法的准确性（xìng）和完整性。

信（xìn）息完整性一方面是（shì）指信息在（zài）利用、传输（shū）、贮存等（děng）过程中不被（bèi）篡改、丢失、缺损等，另一方（fāng）面是指信息处理的方法的正确性。不正（zhèng）当（dāng）的操作，如误删（shān）除文（wén）件，有（yǒu）可能造成重（chóng）要文件（jiàn）的丢失（shī）。

 •  可用性：为保障授权使用人在需要（yào）时（shí）可以获取信息和使用相关的资产。

信息的可用性是指信息及相（xiàng）关的信息资产在（zài）授权人需（xū）要的时候，可（kě）以立即获得。例如通信线路中断故障会（huì）造成信息（xī）的在一段（duàn）时（shí）间内不可用（yòng），影响正常的商（shāng）业运作（zuò），这是（shì）信息可用性的破（pò）坏。不同类型的（de）信息及相应资产（chǎn）的信息安全在保密性、完整性及可用性方面关注点不同，如组织的专有技术、市场营销计划等商业秘密对组织来讲保守机（jī）密尤（yóu）其重要；而对（duì）于工业自动控制系（xì）统，控制信息的完整性相对其（qí）保密性（xìng）重要得多（duō）。

为什么需要信（xìn）息（xī）安全？

信息、信息处（chù）理过程及（jí）对信息起支持作用的（de）信息系统（tǒng）和信息网络都是重要的商务资（zī）产。信息的保密性、完整性和（hé）可（kě）用性对保（bǎo）持竞争（zhēng）优势、资金流动、效益、法律符合性和商业形象都是（shì）至（zhì）关重要的（de）。然而，越来越（yuè）多的组（zǔ）织及其信息系统和（hé）网（wǎng）络面（miàn）临着包括计（jì）算机（jī）诈骗、间谍、蓄意破坏、火灾、水灾（zāi）等大（dà）范围的安全威胁，诸如计（jì）算机（jī）病（bìng）毒、计算机入侵、 Dos 攻击（jī）等手段造（zào）成的信息（xī）灾难（nán）已变得更（gèng）加普遍 , 有（yǒu）计划而不易被察觉。组织（zhī）对信息系统和信息服务的依赖（lài）意（yì）味着更（gèng）易受到（dào）安全威胁的破（pò）坏（huài），公共和私（sī）人网络的（de）互连及信息资源的共（gòng）享增（zēng）大了实现访问控制的难度。许（xǔ）多（duō）信息系统本身就（jiù）不是按照（zhào）安全系统的要求来设计的，所（suǒ）以仅依靠（kào）技术手段来实现信息安全有其局限性，所以信（xìn）息安（ān）全的实现须得到管理和程序控制的适当支持（chí）。确定应采取哪些（xiē）控制（zhì）方式则需（xū）要（yào）周密计划，并（bìng）注意细节。信息安全管理至少（shǎo）需要（yào）组织中的所有（yǒu）雇员的参（cān）与，此外还需（xū）要供应商、顾（gù）客或股东的参与（yǔ）和信息安（ān）全（quán）的专家（jiā）建（jiàn）议。在（zài）信息系统设计阶段就（jiù）将安全要求和控制（zhì）一体化考虑，则成本会更低、效率会更高（gāo）。

 BS7799的信息（xī）管理过（guò）程：

①确定信息安全管理方针。

②确定 ISMS( 信（xìn）息安全管理体（tǐ）系) 的范（fàn）围

③进行风险分析。

④选择控制目标（biāo）并进行控制（zhì）。

⑤建（jiàn）立业务持续计划。

⑥建立并实施安全（quán）管理体系。

 建立（lì）信息安全管理体系的作用：

 任何组织，不论它在信息技术（shù）方（fāng）面如何努力以及采纳（nà）如何新（xīn）的信息安全技（jì）术（shù），实际上（shàng）在信息（xī）安全管理方面都（dōu）还存（cún）在漏洞，例（lì）如：

· 缺少信息安全（quán）管理论坛，安全导向不明确（què），管理支持不明显； 

· 缺少跨部门的（de）信息安全协调机制； 

· 保护特定资（zī）产（chǎn）以及完成特定安全（quán）过程的职责还不明确； 

· 雇员信息安全意识（shí）薄弱，缺少防范意识，外来人员很（hěn）容易直接进入生产（chǎn）和工作场（chǎng）所； 

· 组织信息系统管理（lǐ）制度不够健全； 

· 组织信息系统主机房安全存在隐患，如：防火设施存在问（wèn）题，与危险品仓库同处一幢办公楼等； 

· 组织信息系统备份设备仍有欠（qiàn）缺； 

· 组织信息系统安（ān）全防范技术投入欠缺； 

· 软件知识（shí）产（chǎn）权保（bǎo）护欠缺（quē）； 

· 计算（suàn）机房、办公场（chǎng）所（suǒ）等物理防范措施（shī）欠缺； 

· 档案、记录等（děng）缺少可靠（kào）贮（zhù）存场所； 

· 缺少一旦发生意外时的保证生产经（jīng）营连（lián）续性的措施（shī）和计划； 

        ……等等。

为什么要建立（lì）和实施ISO27001信息安全管理体系认证（2）

其（qí）实，组织可以（yǐ）参照（zhào）信息安全管理模型，按照先进的信息安全管理标准 BS7799 标（biāo）准建立（lì）组织完（wán）整的信息安全管理（lǐ）体（tǐ）系并（bìng）实施与保（bǎo）持，达到动（dòng）态的、系（xì）统的、全（quán）员参与、制度化的、以预（yù）防为主（zhǔ）的（de）信息安全管理方式，用（yòng）较低的（de）成（chéng）本，达到可接受的（de）信息安全水平，就可以从根（gēn）本（běn）上保（bǎo）证业务的（de）连续性。组织建立、实施与保（bǎo）持信息安全管（guǎn）理体（tǐ）系将会（huì）产生如下（xià）作用：

· 强（qiáng）化员工（gōng）的信（xìn）息安全（quán）意识，规范组织（zhī）信息安全行（háng）为； 

· 对组织（zhī）的关（guān）键信息资产（chǎn）进（jìn）行（háng）全面（miàn）系统的（de）保护，维持竞争优势； 

· 在（zài）信息系统受到侵（qīn）袭时，确保业务持续开（kāi）展（zhǎn）并将损失降到较低程度； 

· 使组织的生意伙伴和客户对组织（zhī）充满信（xìn）心（xīn）； 

· 如果（guǒ）通过体系认（rèn）证（zhèng），表明体（tǐ）系符合标准，证明组织有能力保障重要（yào）信息，提（tí）高组织的名度与（yǔ）信任度； 

· 促使管理层（céng）坚持贯彻信（xìn）息安（ān）全保障体系。 

BS7799标准概述：

· 1995 年，英国贸（mào）工部根据英（yīng）国国内企业对信息安全日益高涨的呼声，组织（zhī）大企（qǐ）业的信息安全经理（lǐ）们，制定了世（shì）界上第一个信（xìn）息安全管理体系标准 BS7799-1 ： 1995 《信息（xī）安全管理实施规则》，作（zuò）为工商业和大、中、小型（xíng）组织实施信息（xī）安全管理的（de）指（zhǐ）南。由于该标准采用建议（yì）和指导方式编写，因而不（bú）宜作为认证标准使用。 

· 1998 年，为了适应第三方认证的需要，英（yīng）国又（yòu）制定了第一个（gè）信（xìn）息（xī）安全管理（lǐ）体（tǐ）系认证（zhèng）标准 --BS7799-2 ： 1998 《信息安全管理体（tǐ）系规范》，作为对一个组织的全部或（huò）部分信息安全管理体系进（jìn）行评审认证的依（yī）据（jù）标准。 

· 1999 年，鉴于计算机和信息处理技术，尤其是网（wǎng）络和通信领域应用的迅速（sù）发展（zhǎn），英国又（yòu）对信息安全管理（lǐ）体系（xì）标准进行了修（xiū）订。修（xiū）订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取（qǔ）代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修（xiū）订的 1999 版标准进一步强调了组织在商务（wù）工作中所涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一（yī）对（duì）配套标准， BS7799-1 ： 1999 为如何（hé）建（jiàn）立和实施符合 BS7799-2 ： 1999 标准要求的（de）信息安全管理体系提供了较佳（jiā）的应用（yòng）建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式（shì）采纳成为国际（jì）标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安（ān）全管理（lǐ）实施规则》，另外， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作为蓝本修订后成（chéng）为可用于认证的 ISO/IEC 的《信息安全管理体系（xì）规范》。 

信息安全认证（zhèng）是实现信（xìn）息（xī）安全目标的较佳途径：

BS7799-2：2002信息安全管理体系规范向组（zǔ）织（zhī）提（tí）出了一系列（liè）认证的（de）要求（qiú），在总则中提出组织应建立并保持一个文件（jiàn）化的信息安全管理体系，阐述被保护（hù）的（de）资产、组（zǔ）织风（fēng）险管理的渠道、控制目标及（jí）控制方式和需要的保（bǎo）证等级；通过建立管（guǎn）理架构并加以实施（shī）来达到识别控制目标和控制（zhì）方式，并形成文件和记录。

BS7799-2：2002的控制（zhì）细则包括10个（gè）方面： 　

· 安全方（fāng）针：为信息（xī）安全提供管理指导和支持； 

· 组织安（ān）全：建立（lì）信息（xī）安全架构，保证组织的（de）内部管理（lǐ）；被第三方访问或外（wài）协时，保障组织的信息安全； 

· 资产的归类与控制：明确资产责（zé）任（rèn），保持对组（zǔ）织（zhī）资产的适当保护；将信息进行归类（lèi），确（què）保（bǎo）信息资产受到适当程（chéng）度的保（bǎo）护； 

· 人员安（ān）全：在工作说明和资源方面，减少（shǎo）因人为错误、盗窃、欺诈和设施误用造成的风（fēng）险；加强用户培（péi）训，确保用户清楚知道信息（xī）安全的危险性和相关事（shì）项（xiàng），以（yǐ）便在（zài）他们（men）的日常（cháng）工作中支（zhī）持组织的安全方针；制定安全事（shì）故（gù）或故障的反应程序，减少由安全事故（gù）和故障造成（chéng）的损失，监控安（ān）全事件并从这种事件中吸取教训（xùn）； 

· 实（shí）物（wù）与环境安全：确定安全区域，防止非授（shòu）权访问（wèn）、破坏、干扰商务场（chǎng）所（suǒ）和信息；通过（guò）保（bǎo）障（zhàng）设备安全，防止资（zī）产的丢失、破坏、资产（chǎn）危害及（jí）商务活动的中断；采用通用的控（kòng）制方式，防止信息或信息处（chù）理设（shè）施损坏或失窃； 

· 通信和操作方式管理：明确操作（zuò）程序及（jí）其（qí）责任，确保信（xìn）息处理设（shè）施的正确、安全操作；加强系统策（cè）划与验收，减少系统失效风险；防范恶（è）意软件以保持软件和信息（xī）的完整性；加强内（nèi）务管（guǎn）理以保持信息处（chù）理和通（tōng）讯（xùn）服务的完整（zhěng）性和（hé）有效性通过（guò） ; 加强（qiáng）网络管理确保网络中的信息（xī）安全及其辅助设施受到保护；通过保护媒（méi）体处（chù）理的安全 , 防（fáng）止（zhǐ）资产损坏和商务活动的中（zhōng）断；加（jiā）强信息和软件的交换（huàn）的管理，防（fáng）止组织间在交换信（xìn）息时发生丢失（shī）、更改和误用； 

· 访问控制：按照访问控制的（de）商务（wù）要（yào）求，控制信息（xī）访（fǎng）问；加强用（yòng）户访问管（guǎn）理，防止非（fēi）授权访问信息系统；明确用（yòng）户职责，防止非（fēi）授权的用户访（fǎng）问（wèn）；加强网络访问控（kòng）制，保护网络服务（wù）程序；加（jiā）强（qiáng）操作（zuò）系统访问控制（zhì） , 防（fáng）止非授（shòu）权的计算机访问（wèn）；加强应用访问（wèn）控制，防止（zhǐ）非授（shòu）权访问（wèn）系统中的信息；通（tōng）过监控系统（tǒng）的访问与（yǔ）使用，监测（cè）非（fēi）授权行为；在移动式（shì）计算和电传工作方面 , 确保使用移动式（shì）计算和电传工作设（shè）施的（de）信息安全； 

· 系统开发（fā）与维（wéi）护：明确（què）系统安全要（yào）求（qiú），确（què）保（bǎo）安全性已构成信息系统的（de）一部份；加（jiā）强应用系（xì）统的安全（quán），防（fáng）止（zhǐ）应用系统用户数据的（de）丢失、被修改或误用；加（jiā）强密码技术（shù）控制，保护信息的保密性（xìng）、可靠性或完整性；加强系统文件的（de）安全，确保（bǎo） IT 方案及其支（zhī）持活动以安全的方（fāng）式（shì）进行；加强开发和支持过（guò）程的（de）安全，确保应用系统软件和（hé）信息（xī）的安全； 

· 商务连续性管（guǎn）理：防止商务活动的中断及保护关键商务过（guò）程不受重大失误或（huò）灾难事（shì）故的影响； 

· 符合（hé）：符合法律法规（guī）要求，避免刑法（fǎ）、民法、有关法（fǎ）令（lìng）法（fǎ）规（guī）或合同约定事宜（yí）及其他安（ān）全要求（qiú）的规（guī）定相抵触；加强安全方针和技术符（fú）合性评审，确保体（tǐ）系按照组（zǔ）织的安全方针及标准执（zhí）行；系（xì）统（tǒng）审核考虑因素（sù），使（shǐ）效（xiào）果（guǒ）较大化 , 并（bìng）使系统审核过程的（de）影响较小化（huà）。 　 

在国（guó）际标准（zhǔn） ISO/IEC17799 给出了为实现（xiàn）信息安全认证所需的各项措（cuò）施的详细指导，具有很强的可操（cāo）作性和指导性。

归根结底（dǐ），信息安全工（gōng）作的目的（de）就是在法律（lǜ）、法（fǎ）规、政策的支持与指导下，通过采用合适的安全技术（shù）与安全管理措（cuò）施，提供安全（quán）需求的保（bǎo）证（zhèng），而 BS7799 信息安全认证标准正是总和了这（zhè）些要（yào）求。组织可以根据（jù）自身特点，在（zài） ISO/IEC 17799 指导（dǎo）下，实（shí）现（xiàn）信息（xī）安全的要求。

 ISO27001：2005 《信（xìn）息安全管理（lǐ）体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求（qiú）》是关于（yú）信息安全（quán）管理（lǐ）的标准，是标（biāo）准（zhǔn）不是方法，达到这些标准的（de）要求并不难，重要的是（shì）用（yòng）什么方（fāng）法去（qù）实现。企业应将实施标准（zhǔn）作为改善内部管理的一次机会，不应该将标准做为一种（zhǒng）简单的模式对现有流程运（yùn）作进（jìn）行套用，应对现有的组织（zhī）运作流程进行详细分析（xī），有针（zhēn）对性地设计并改（gǎi）善现（xiàn）有管理体系、改善薄弱环节（jiē）、改善（shàn）运作流程（chéng）及内部（bù）沟通（tōng），并有效地将先进的管理思想融（róng）合到具体的实施程序中，才能发挥标准的真正（zhèng）作（zuò）用（yòng）。

获得认证证（zhèng）书不是较（jiào）终目的，建立（lì）有责、有序、有效的（de）信息安全（quán）管（guǎn）理体系，提高（gāo）员工的信息安全意识，不断获（huò）取并运用先（xiān）进的（de）管理方法和技（jì）术手段（duàn）才能使企业的信息安全（quán）管理水平得以持（chí）续的发展和提（tí）升。