信息安全 (Information security): 是指信息的保（bǎo）密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为（wéi）保（bǎo）障信息仅仅为那些被授权使用的人获取（qǔ）。

 信息（xī）的保密性是针对（duì）信息被允许访问（ Access ）对象（xiàng）的多（duō）少而不同，所（suǒ）有人员（yuán）都可（kě）以（yǐ）访（fǎng）问（wèn）的信息为公开信息（xī），需（xū）要限制访问的信（xìn）息一般为敏感信息或秘密，秘密可以根据信息的重要性及（jí）保密要求分为不同的密级，例（lì）如国家根据秘（mì）密泄露对（duì）国家（jiā）经济、安全利益产生的影响（后果）不同，将国（guó）家秘密分为秘密、机密和（hé）绝密三个（gè）等（děng）级，组织可（kě）根据其信息安（ān）全的（de）实际，在符合（hé）《国家保密法》的前提（tí）下将其信息划分为不同（tóng）的密（mì）级；对于具体的信息的保密性（xìng）有时效性，如秘密到期（qī）解（jiě）密等（děng）。

 •  完（wán）整性：为保（bǎo）护信息及其（qí）处（chù）理方法的（de）准确性（xìng）和完整性。

信息完整（zhěng）性一（yī）方面是指信（xìn）息在利用、传输、贮存等过程（chéng）中不被篡（cuàn）改、丢失（shī）、缺损等，另（lìng）一（yī）方面是指信息处理的方法的正确性。不（bú）正当的操作，如误（wù）删除（chú）文（wén）件，有可能造成重要文件（jiàn）的丢失。

 •  可用性：为保障授权使用（yòng）人在需要时（shí）可以获取信息和使用相关的资产。

信息的（de）可用性是指信息及相关的信息资产在授权人需（xū）要的时（shí）候，可以立（lì）即获得。例如通信（xìn）线路中（zhōng）断故障会（huì）造成信息的在一段时间内不可用，影响正常的（de）商业运作，这是信息可（kě）用（yòng）性（xìng）的破坏。不同类型的信息及相应资产（chǎn）的信息安全在保密性、完整性及可（kě）用性方面关注点不同，如组织（zhī）的专（zhuān）有（yǒu）技（jì）术、市（shì）场营销（xiāo）计划（huá）等（děng）商业秘密对组（zǔ）织来讲（jiǎng）保守（shǒu）机密尤其重要；而（ér）对于工（gōng）业自动控制系统，控制信息的完整性（xìng）相对其（qí）保密性（xìng）重要得多。

为什么（me）需要信息安全？

信（xìn）息、信息处理过程（chéng）及对（duì）信息起支（zhī）持作（zuò）用的信息系统（tǒng）和信息网络都是（shì）重要的商务资产。信息的（de）保（bǎo）密（mì）性、完整性和可（kě）用性对保持竞争优势、资金流动、效益、法律符合性和（hé）商业形象都是至关重要的。然而，越来越多的组织（zhī）及其信息系（xì）统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水（shuǐ）灾等大范围的（de）安全威胁，诸如计算机病毒、计算机入侵（qīn）、 Dos 攻击（jī）等手（shǒu）段造成的信息灾（zāi）难已（yǐ）变得更加普遍 , 有计划而不易被察（chá）觉。组织对信（xìn）息系统（tǒng）和信息服务的依赖意味（wèi）着更易受到安（ān）全威胁的破（pò）坏，公共（gòng）和私人网络的互连及（jí）信息资源的（de）共（gòng）享增大（dà）了实现访问控制的（de）难度。许多信息系统本（běn）身就不是按照安全系统的要求（qiú）来设计（jì）的，所以仅依靠技术手段来实现（xiàn）信息安（ān）全（quán）有其局限（xiàn）性，所（suǒ）以（yǐ）信（xìn）息安全的实现须得到管理（lǐ）和程序控制的适当支持（chí）。确定应采取（qǔ）哪些控（kòng）制方式则需要周密计划，并注意细节。信息安（ān）全管理（lǐ）至少（shǎo）需要组织中的所有雇员（yuán）的（de）参（cān）与（yǔ），此外还需要供应商、顾客或股东的参与和（hé）信息安（ān）全的专家建议。在信息系统设（shè）计阶段就将安（ān）全要求和控（kòng）制一（yī）体化（huà）考虑，则成本会更低、效率会更高。

 BS7799的信息管理过程：

①确定信息安全管理（lǐ）方针。

②确定 ISMS( 信息安（ān）全管理体系) 的范围

③进行风险分（fèn）析。

④选（xuǎn）择控制目标并进行控制（zhì）。

⑤建立业务持续计划。

⑥建立并（bìng）实施（shī）安全管理体系。

 建立信息安全管（guǎn）理体（tǐ）系的作（zuò）用（yòng）：

 任何（hé）组织，不论它在（zài）信息技术方面如何（hé）努力以及采纳（nà）如何新的信息安全技术，实（shí）际上在信息安（ān）全管理（lǐ）方面都还（hái）存在漏洞，例如：

· 缺少信息安全管理论坛，安全导向（xiàng）不明确，管（guǎn）理支（zhī）持不明显； 

· 缺少（shǎo）跨部（bù）门的信息安全协调机制； 

· 保护特定（dìng）资产以及完成（chéng）特定安全过（guò）程的职责还（hái）不明确； 

· 雇员信（xìn）息安全（quán）意识（shí）薄弱，缺少防范意识，外来人员很容易直接进入生产和工（gōng）作场（chǎng）所（suǒ）； 

· 组织信息系（xì）统管理制度（dù）不（bú）够健全； 

· 组织（zhī）信息系统主机房安全存在隐患，如：防火设施（shī）存在问题，与危险（xiǎn）品（pǐn）仓库同处一幢办公楼（lóu）等（děng）； 

· 组织（zhī）信息系统备份设（shè）备仍有欠缺； 

· 组织（zhī）信（xìn）息系统安全（quán）防范（fàn）技术投入欠缺； 

· 软（ruǎn）件知识产权保护欠（qiàn）缺； 

· 计算机房、办公场所等物理（lǐ）防范措施欠缺； 

· 档（dàng）案、记录等缺少可靠贮存场所； 

· 缺少一（yī）旦发生（shēng）意（yì）外时的保（bǎo）证生产经（jīng）营连续性的措施和计划； 

        ……等等。

为什么要建立和实施ISO27001信（xìn）息安全（quán）管理体（tǐ）系认（rèn）证（2）

其实，组织可以参照信息安（ān）全管理模型，按照先进的信息安全管理标（biāo）准 BS7799 标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全（quán）员（yuán）参与、制（zhì）度（dù）化的、以（yǐ）预防为主的信息安全管理方式，用较低的成本（běn），达到（dào）可接受的信（xìn）息安全水平，就可（kě）以从根本上保证（zhèng）业务（wù）的连续性。组织建立、实（shí）施与保（bǎo）持信息安全管理体系将会产生如下作用：

· 强（qiáng）化员工的信息（xī）安全意识（shí），规范组织信息安全行为； 

· 对组织的关键（jiàn）信息资产进行全（quán）面系（xì）统的保护，维持竞争优势； 

· 在信息系统（tǒng）受到侵袭时，确保业务（wù）持续开展并（bìng）将损失（shī）降到（dào）较低程度（dù）； 

· 使组织的生（shēng）意伙（huǒ）伴和（hé）客（kè）户对（duì）组织充满信心； 

· 如果通过体系认证，表明体系符合标准，证明组织有能力保障重要（yào）信息，提高组织的名度与信任度； 

· 促使管理层（céng）坚持贯（guàn）彻信息（xī）安全（quán）保（bǎo）障体（tǐ）系（xì）。 

BS7799标准概（gài）述：

· 1995 年，英国贸工部根（gēn）据（jù）英国国内企业对信息安全日益高涨的呼（hū）声，组织大企业的信息安（ān）全经理们，制（zhì）定了世界上第一个（gè）信息安全管理（lǐ）体系（xì）标准 BS7799-1 ： 1995 《信息（xī）安全管理实施规则（zé）》，作为工商（shāng）业（yè）和大、中、小型组织实施信息安全管（guǎn）理的（de）指南。由（yóu）于该（gāi）标准采（cǎi）用（yòng）建议（yì）和指（zhǐ）导方式编写，因而不宜作（zuò）为认证（zhèng）标准使用。 

· 1998 年，为（wéi）了（le）适应第三方（fāng）认证的需（xū）要，英国又制定了（le）第一个信息安全管理体系（xì）认（rèn）证标准 --BS7799-2 ： 1998 《信息安（ān）全管理体系（xì）规范》，作为对一个组织的全部或部分信息安全管理体系（xì）进行评审（shěn）认证的（de）依据标准。 

· 1999 年，鉴于（yú）计算机和信息处理技术（shù），尤其是（shì）网络和（hé）通信领域（yù）应用（yòng）的迅速发展，英（yīng）国又对信息（xī）安全（quán）管理体（tǐ）系标准进行了修订（dìng）。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的（de） 1999 版标准进一步（bù）强调了组织（zhī）在商务工作中所涉及（jí）的（de）信息安全和信息（xī）安全（quán）责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标（biāo）准， BS7799-1 ： 1999 为如何建立和实（shí）施符合（hé） BS7799-2 ： 1999 标准（zhǔn）要（yào）求的信息安全管理（lǐ）体系提供了较佳（jiā）的应用建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正式（shì）采纳（nà）成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技术—信（xìn）息安全管理实（shí）施（shī）规则》，另（lìng）外， BS7799-2 ： 1999 也即（jí）将于 2002 年底被 ISO/IEC 作为（wéi）蓝本修订后（hòu）成为可用于认（rèn）证的（de） ISO/IEC 的《信息安全管理（lǐ）体（tǐ）系规范（fàn）》。 

信息安全认证是实现信息（xī）安全目标的较佳途（tú）径：

BS7799-2：2002信息安全管理（lǐ）体系规范向组织提（tí）出了（le）一系（xì）列认证的（de）要（yào）求，在总则（zé）中（zhōng）提出组织应（yīng）建立并（bìng）保持一个文（wén）件化的信息（xī）安全（quán）管（guǎn）理体系，阐述被保护的资产、组（zǔ）织风险管理的渠道（dào）、控制目（mù）标（biāo）及控制方（fāng）式和需（xū）要的保证（zhèng）等级（jí）；通过（guò）建（jiàn）立（lì）管理架（jià）构并加以（yǐ）实施来达到识别控（kòng）制目标（biāo）和控制方式（shì），并形成文件（jiàn）和记录。

BS7799-2：2002的（de）控制（zhì）细（xì）则包（bāo）括10个方面： 　

· 安全方针：为信息（xī）安全提供（gòng）管理指导（dǎo）和（hé）支持； 

· 组织安全：建立信息安全架构，保证组织的内部管（guǎn）理；被第三方访问或外协时，保障组织的信（xìn）息安全； 

· 资产（chǎn）的归类与控制：明（míng）确资（zī）产责任，保持对组（zǔ）织资产的适当保护；将信（xìn）息进行归类（lèi），确保信（xìn）息资产（chǎn）受到适当程（chéng）度的保护； 

· 人（rén）员安（ān）全：在工作说明和资（zī）源方面，减少因人为错误、盗窃、欺诈和设施误用造成（chéng）的风险；加强用户培训，确保用（yòng）户清楚知道信息安全的危险性和相关事项，以便在他们的（de）日常工作中支持组织的安全方针；制（zhì）定（dìng）安（ān）全事故或故（gù）障的反应程序，减（jiǎn）少由安全（quán）事故和故障（zhàng）造成的（de）损（sǔn）失，监控安全事件并从这种事件中吸取（qǔ）教训； 

· 实物（wù）与环境安全：确定安全区域，防止非授权访（fǎng）问、破（pò）坏、干扰商务场所和信息；通过保障设备安全，防止资产的丢失（shī）、破坏、资（zī）产危害及（jí）商（shāng）务活（huó）动的中断；采用通用的（de）控制方式，防止信息或信息（xī）处（chù）理设施损（sǔn）坏或失窃； 

· 通信（xìn）和（hé）操作方式（shì）管（guǎn）理：明确（què）操作程序及其责任，确保信（xìn）息处理设施的正确、安全操（cāo）作；加强系统策划与验（yàn）收（shōu），减少系（xì）统失效（xiào）风险（xiǎn）；防范恶意软件（jiàn）以保（bǎo）持软件和（hé）信息的（de）完整性；加强内务管理（lǐ）以保持信息处理和通讯服务（wù）的完整性和（hé）有效（xiào）性（xìng）通（tōng）过 ; 加强网络管理（lǐ）确保网络中的信息安全（quán）及其辅助设施受（shòu）到保护；通过（guò）保护（hù）媒体处理的安全 , 防止资产损坏和商务活动（dòng）的（de）中断；加强信息和（hé）软件的交换的管理，防止组织间（jiān）在交换信息时发生丢（diū）失、更改和误（wù）用； 

· 访（fǎng）问控制：按（àn）照访问控制的商（shāng）务要求（qiú），控制信息访问；加（jiā）强用户访问管理，防止（zhǐ）非授权访问信（xìn）息（xī）系统；明确用（yòng）户职责，防止非授权的用户（hù）访问；加强网络访问控制，保护网（wǎng）络（luò）服务程序（xù）；加（jiā）强（qiáng）操作系统访问控制 , 防止非授权的计算机访问；加强应用访问控制，防（fáng）止（zhǐ）非（fēi）授权访问系统（tǒng）中的信息；通过（guò）监控系统的访问与使用（yòng），监测非（fēi）授权行为（wéi）；在移动式计算和（hé）电传工作方面 , 确（què）保使用移动式计算和电（diàn）传工作设施的信息安全； 

· 系统开发与维护：明确系统安（ān）全要求，确保安全性已构成信息系统的一部份；加强应用系统的安全，防止应用（yòng）系统用户数据的丢失（shī）、被（bèi）修改或（huò）误用；加强密码技术控制，保护信息的保密性（xìng）、可靠性或（huò）完整性；加强系统文件的安全，确保 IT 方案及其支持活动以（yǐ）安全的方式（shì）进行；加强开发和支持过程的（de）安全，确（què）保应用系（xì）统软件和信息的安全； 

· 商务连续（xù）性管理：防止商务（wù）活动的中断及保护关键商务（wù）过（guò）程不受重大失误或灾（zāi）难事（shì）故的（de）影响（xiǎng）； 

· 符合（hé）：符合法（fǎ）律法规（guī）要求（qiú），避（bì）免刑（xíng）法、民（mín）法、有关法令法（fǎ）规或合同约定事（shì）宜及（jí）其他安（ān）全要求的（de）规定相抵（dǐ）触（chù）；加强安全方针和技术（shù）符合性评审，确保体系（xì）按照组织的安全方针及（jí）标准执行；系统（tǒng）审核考虑（lǜ）因素，使效果较大化（huà） , 并使系统（tǒng）审核过（guò）程的影响较（jiào）小化。 　 

在国际标准 ISO/IEC17799 给出了（le）为（wéi）实现信息安全认证所需的各项措施的详细指导（dǎo），具（jù）有很强的可操作性和指导性。

归根结底，信息安全工作的目的（de）就是在法律（lǜ）、法规（guī）、政（zhèng）策的支持与指导下，通过采用合（hé）适的（de）安（ān）全技（jì）术与安全管理措施，提供安全需求的保证，而 BS7799 信（xìn）息安全认证标准正是总和了这些要求。组织可以根（gēn）据自身特（tè）点，在 ISO/IEC 17799 指导下，实现（xiàn）信息（xī）安全的要求。

 ISO27001：2005 《信息安全管（guǎn）理体系要求》

 ISO27001 ： 2005 《信息（xī）安全管理体系要求》是关于信息安全管理（lǐ）的标准，是标准不（bú）是方法（fǎ），达（dá）到（dào）这些标准的（de）要（yào）求并不（bú）难，重（chóng）要的是用什么（me）方法去实（shí）现。企业应将（jiāng）实（shí）施标准作为改善内部管（guǎn）理的一次机会，不应该将标准做为一种（zhǒng）简单的模（mó）式对现有（yǒu）流程运作进行套用，应对现（xiàn）有（yǒu）的组（zǔ）织（zhī）运（yùn）作流程（chéng）进行详（xiáng）细分析，有针对性地设计并改善现有管理体系（xì）、改善薄弱环节、改善运作流程（chéng）及内（nèi）部沟（gōu）通（tōng），并有效地将先进的管理思（sī）想（xiǎng）融合（hé）到（dào）具体的实施程序中，才能发挥标准的真（zhēn）正作用。

获（huò）得认证（zhèng）证书不是较终目的，建立有责、有（yǒu）序、有效的信息安全管理（lǐ）体系（xì），提高员工的信息安全意（yì）识，不断获取并运用（yòng）先（xiān）进（jìn）的管（guǎn）理方法（fǎ）和技术（shù）手段才能使企（qǐ）业的（de）信息（xī）安（ān）全管理水（shuǐ）平得以持续的发展和提升。