信（xìn）息安全 (Information security): 是指信息的保（bǎo）密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可（kě）用（yòng）性 (Availability) 的保持。

•  保密（mì）性（xìng）：为保障信息仅仅为那些被（bèi）授权使用的人获取（qǔ）。

 信（xìn）息的保密性是（shì）针对信息被允许访问（ Access ）对（duì）象的多少而不同，所有人（rén）员都可以访问的信息为公开（kāi）信（xìn）息，需要限制访（fǎng）问的信息一般为敏感信息（xī）或秘密，秘密可以根据信息的重要性及保密要（yào）求分（fèn）为不同的密级，例如（rú）国家根据秘密泄露对国家经济、安全利益（yì）产（chǎn）生的影（yǐng）响（后果）不同，将国家秘密分为秘密、机（jī）密和（hé）绝密三个等级，组（zǔ）织可（kě）根据（jù）其信（xìn）息安全的实际（jì），在符合《国（guó）家保密法》的前提下将其信（xìn）息（xī）划分为不同的密（mì）级；对于具（jù）体的信息的保密性有（yǒu）时效性，如秘密到期解密（mì）等。

 •  完整性：为保（bǎo）护信（xìn）息及（jí）其处理方（fāng）法的（de）准确性和完（wán）整性。

信（xìn）息完（wán）整性一方面（miàn）是指信息在利（lì）用、传（chuán）输、贮（zhù）存（cún）等过（guò）程中不被篡改、丢失、缺损等（děng），另一方面是指信息（xī）处理的方法的（de）正确性。不正当（dāng）的操作，如误删除文件，有可（kě）能造成（chéng）重（chóng）要（yào）文件的（de）丢失。

 •  可用性：为保障授权使用人在需要时（shí）可（kě）以获取信息和使用（yòng）相关的资产。

信息的可（kě）用性是指信息及相关的信息资（zī）产在授权人需要（yào）的时（shí）候（hòu），可（kě）以立即获得。例如通信线路中断（duàn）故障（zhàng）会造成信（xìn）息的在一段时间内不（bú）可用，影响正常的（de）商业运作，这是信息可用性的（de）破坏。不（bú）同类型的信息及相（xiàng）应资产的信（xìn）息安全（quán）在保密性、完整性（xìng）及可用性方面关注点不（bú）同（tóng），如组（zǔ）织的专有技（jì）术、市（shì）场营销计划等（děng）商业秘（mì）密对组织来讲（jiǎng）保守机（jī）密尤其重（chóng）要；而对于工业自动控制系统（tǒng），控制信息的完整（zhěng）性相对其（qí）保（bǎo）密性重要（yào）得多。

为什么需（xū）要信息（xī）安全？

信息、信息处理过程及对信（xìn）息起支（zhī）持（chí）作（zuò）用的（de）信（xìn）息系统和信息网络都是（shì）重要的（de）商务（wù）资产（chǎn）。信息的保密性、完（wán）整性和可用性对保持竞争优势（shì）、资金流动、效益（yì）、法律（lǜ）符合性和商业形象都是至关重要的。然而，越（yuè）来越多的组（zǔ）织及其信息系统和（hé）网络（luò）面临着（zhe）包括计算机（jī）诈骗、间（jiān）谍、蓄意破（pò）坏、火灾（zāi）、水（shuǐ）灾等大范围的安全威胁，诸如计算机病毒、计（jì）算机（jī）入侵、 Dos 攻（gōng）击（jī）等手（shǒu）段（duàn）造（zào）成的（de）信息（xī）灾（zāi）难已变得更加普（pǔ）遍 , 有计划而（ér）不易被（bèi）察觉。组织对信息系统（tǒng）和信息服务（wù）的依赖意（yì）味着更易受到安全威胁的破（pò）坏，公共和私人网络的互连（lián）及信息（xī）资源（yuán）的共享增大了实现（xiàn）访问（wèn）控制的难度。许多（duō）信（xìn）息（xī）系统（tǒng）本身就不是按照安全（quán）系统（tǒng）的要求来（lái）设（shè）计（jì）的，所以（yǐ）仅依靠技术手段来实现（xiàn）信息安全有其局限性，所以信息安全的实现须得（dé）到（dào）管理和程序控制的适当支（zhī）持（chí）。确定应（yīng）采（cǎi）取哪（nǎ）些控制方式则需要周密计划，并注（zhù）意（yì）细节。信息安（ān）全管（guǎn）理（lǐ）至少需要组织中的（de）所有雇员的参与，此外还需要供应商、顾客或（huò）股东的（de）参（cān）与和（hé）信息安（ān）全（quán）的（de）专家建议（yì）。在（zài）信息系统设计阶段就将安全（quán）要求（qiú）和控制一体化考虑，则成本（běn）会更低、效率会更高（gāo）。

 BS7799的信息管理过程：

①确（què）定信息（xī）安（ān）全管理方针。

②确定 ISMS( 信息安（ān）全管理体（tǐ）系) 的范围

③进行风险分析。

④选（xuǎn）择控制目标并进行（háng）控制。

⑤建立业务（wù）持续计（jì）划。

⑥建立并实施安全管理体系。

 建立信息安全管理体系的（de）作用：

 任（rèn）何（hé）组织，不论它在信息技术方面（miàn）如何努（nǔ）力以及采纳如何（hé）新的信（xìn）息安全技术，实际上（shàng）在信息安全管理（lǐ）方面都还存在漏洞，例如（rú）：

· 缺少信（xìn）息安全管理论坛（tán），安全导向不明（míng）确，管理支持不明（míng）显； 

· 缺少跨部门的信息（xī）安全协调机制（zhì）； 

· 保护特定资产以及（jí）完成（chéng）特定安全（quán）过程（chéng）的职责还不明（míng）确； 

· 雇（gù）员信息安全意识薄弱，缺少防范意识，外（wài）来人员很容易直接进（jìn）入（rù）生产和工作场所（suǒ）； 

· 组织（zhī）信（xìn）息系（xì）统管理制度不够健全； 

· 组织信息系统主机房安全存在隐患，如：防火设（shè）施存在问题，与（yǔ）危险品仓库同处一幢办（bàn）公楼等； 

· 组织信息系统备份设备仍（réng）有欠（qiàn）缺； 

· 组（zǔ）织信息系统安全防范技术投入（rù）欠（qiàn）缺； 

· 软件（jiàn）知识产权保（bǎo）护欠缺（quē）； 

· 计算机房、办公场所等物理防（fáng）范措施欠缺； 

· 档案、记（jì）录等缺少可靠贮（zhù）存（cún）场（chǎng）所； 

· 缺少一旦发生意外时的保证生产经营（yíng）连续性（xìng）的措施和计（jì）划； 

        ……等等（děng）。

为什么要建立和实施ISO27001信息安（ān）全管（guǎn）理体系认证（2）

其（qí）实，组织可（kě）以（yǐ）参照信息安全管理模型，按照先进的信息安全管理标（biāo）准 BS7799 标准（zhǔn）建立组织完整的（de）信息安全管理体系并实施（shī）与保持（chí），达到（dào）动态（tài）的、系统的（de）、全员参与、制度化的、以预防为主的信（xìn）息安全管理方式，用较低（dī）的成本（běn），达到可接受（shòu）的信息安全水平（píng），就可以从根本（běn）上（shàng）保证业（yè）务的连（lián）续性。组织（zhī）建立、实施与保（bǎo）持信（xìn）息安全管理体系将（jiāng）会产生（shēng）如下作用：

· 强化员工的信（xìn）息安全意识，规范组织信息安（ān）全行为； 

· 对组织的（de）关键信（xìn）息资产进行（háng）全面（miàn）系统的保护，维持竞争优势； 

· 在信息系统（tǒng）受到（dào）侵（qīn）袭时，确保业（yè）务持（chí）续开展并将损失降（jiàng）到较低程度； 

· 使组织的（de）生意伙（huǒ）伴和客（kè）户（hù）对（duì）组（zǔ）织充（chōng）满信心； 

· 如果通过体系认证（zhèng），表明体系符合标准，证（zhèng）明组织有能力保障重（chóng）要信息，提（tí）高组织的名度与（yǔ）信任度； 

· 促（cù）使管（guǎn）理层坚持贯彻（chè）信息安全保（bǎo）障体系。 

BS7799标准（zhǔn）概述：

· 1995 年（nián），英国贸工部根据英国国内企（qǐ）业对信（xìn）息安全日益高涨的呼声，组织（zhī）大企业的信息安全经理们，制定了世界上第（dì）一个信息（xī）安全管理体系标准 BS7799-1 ： 1995 《信息安全管理实施规（guī）则》，作为工商（shāng）业和大、中、小（xiǎo）型组（zǔ）织（zhī）实施信（xìn）息安全管（guǎn）理的（de）指（zhǐ）南。由于该标准（zhǔn）采（cǎi）用（yòng）建（jiàn）议和指导方式编写，因而（ér）不宜作为认证标准使用。 

· 1998 年，为了适（shì）应（yīng）第三方认（rèn）证的需要，英国又制（zhì）定了第一个信息（xī）安全管理体系认证标准（zhǔn） --BS7799-2 ： 1998 《信息安全管理体系规范》，作为对（duì）一个组织（zhī）的全部或部分信息安全管（guǎn）理体系（xì）进行评审认证的依据标准（zhǔn）。 

· 1999 年（nián），鉴于计算机和信息处理技术，尤其是网（wǎng）络（luò）和通（tōng）信领域应用的（de）迅速发展，英国又对信息安全管理体系标准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别（bié）取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的 1999 版标（biāo）准进一步强调了组织在商务（wù）工（gōng）作中所（suǒ）涉及的信息安全和信息安全责任（rèn）。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套（tào）标准（zhǔn）， BS7799-1 ： 1999 为如何（hé）建（jiàn）立和实（shí）施符合 BS7799-2 ： 1999 标准要求的信息安全管（guǎn）理体系（xì）提供了较佳的应用建议。 

· 2000 年（nián） 12 月（yuè）， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技术—信（xìn）息安全管理实施规则》，另（lìng）外， BS7799-2 ： 1999 也即将（jiāng）于 2002 年底被 ISO/IEC 作为蓝本（běn）修订后成为可用于认证的 ISO/IEC 的《信息安全（quán）管理体系规范》。 

信息安全认证是实现（xiàn）信息安全目标的较佳（jiā）途径：

BS7799-2：2002信（xìn）息安全管（guǎn）理体系规（guī）范向组织提出了一系列认证的要求（qiú），在总则中提出组织应建立并保持（chí）一（yī）个文件化的信息安全管（guǎn）理体系，阐述被保护的资产、组织风险管理的渠道、控制目标及控制（zhì）方（fāng）式和需（xū）要（yào）的保证等级（jí）；通过建立管理（lǐ）架构并加以实施来达（dá）到识别控制目标和（hé）控制方式，并形成文（wén）件和记录。

BS7799-2：2002的控制（zhì）细则包括（kuò）10个方面： 　

· 安全（quán）方针（zhēn）：为信息安全提（tí）供管理指（zhǐ）导（dǎo）和支持； 

· 组织（zhī）安全：建立信息（xī）安全（quán）架（jià）构，保证组织（zhī）的（de）内部管理；被第三方访问（wèn）或外协时，保障组织的信息安（ān）全； 

· 资产的归类与（yǔ）控制：明确资产责（zé）任（rèn），保（bǎo）持对（duì）组织资产的适当保护（hù）；将信息进行归类，确（què）保信（xìn）息资产受到适当（dāng）程度的保护； 

· 人员安全：在工作说明和资源方（fāng）面，减少（shǎo）因人为错误、盗窃、欺诈和设施误用造成（chéng）的风险；加强用户培训，确保用户清（qīng）楚知道信息（xī）安全（quán）的危险（xiǎn）性和相关事项，以便在他们的（de）日常工作中支持组织的安全方针；制定安全事故或（huò）故（gù）障的反（fǎn）应程序，减（jiǎn）少由安全事故和故障造成的（de）损失，监（jiān）控安全事件并从这种事件中吸取（qǔ）教训（xùn）； 

· 实物与环境安全：确（què）定安全（quán）区域，防止非授权访问（wèn）、破坏、干扰商务场所和信（xìn）息；通过保障（zhàng）设备安全，防止资产的丢失、破（pò）坏（huài）、资（zī）产危害及商务活动的中断；采用（yòng）通用（yòng）的控制方式，防止信息或信息处理设（shè）施损坏（huài）或失（shī）窃； 

· 通信和操作方式管理：明确操作程（chéng）序及其责任，确（què）保（bǎo）信息处理（lǐ）设施的（de）正确、安全操作（zuò）；加（jiā）强系统策划（huá）与验（yàn）收，减少系统失效（xiào）风（fēng）险；防范恶意（yì）软件以保（bǎo）持软件和信息的（de）完整性；加（jiā）强内务管理以（yǐ）保持信（xìn）息处理（lǐ）和通讯服务的完（wán）整性和有效性通过 ; 加强网络管理确（què）保网络（luò）中的信息安全及其辅助设施受（shòu）到保护；通过保（bǎo）护媒体处理的安全 , 防止资产损坏和商务活动（dòng）的中断；加强信息和软件的交换的管理（lǐ），防止（zhǐ）组织间在交换信息时发生丢失、更改和（hé）误（wù）用（yòng）； 

· 访问控制（zhì）：按（àn）照访问控制的商务（wù）要求，控制信息（xī）访问；加强用户访（fǎng）问管（guǎn）理，防（fáng）止非（fēi）授权访问信息系统（tǒng）；明确用户职责（zé），防止非（fēi）授权的用户（hù）访问；加强网络访（fǎng）问（wèn）控制，保护网络服务程序；加强（qiáng）操作（zuò）系（xì）统访问控制（zhì） , 防止非（fēi）授权的计算机访问；加强应用（yòng）访（fǎng）问控制，防止非授权访问系统（tǒng）中的信（xìn）息；通过（guò）监（jiān）控系统的访问与使用（yòng），监测非授（shòu）权行为；在移（yí）动式计算和电传工作方面 , 确保（bǎo）使用移动式计算和电传工作设施的（de）信（xìn）息安全； 

· 系统开发与维护：明确（què）系统安全要（yào）求，确保（bǎo）安全性已构成（chéng）信（xìn）息系统的一（yī）部份；加（jiā）强应用系统的安全，防止应用系统用户数据的丢失、被修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性；加强系统文件的安全，确保 IT 方案及其支持（chí）活动（dòng）以安（ān）全的（de）方（fāng）式进（jìn）行；加（jiā）强开发和支持过程的安（ān）全，确保（bǎo）应用系统软件和信息的安全； 

· 商（shāng）务连续性管理：防止商务活动的中（zhōng）断及保护关键商务过程（chéng）不受重大（dà）失误或灾难事故（gù）的影响； 

· 符合（hé）：符合法律（lǜ）法（fǎ）规要（yào）求，避免（miǎn）刑法、民法、有关法（fǎ）令法规或合同约定事宜及（jí）其他（tā）安全要求的规定相抵触；加强（qiáng）安全方针和技术符合性评审，确保体系按照组织的安全方针（zhēn）及（jí）标准执行（háng）；系统审核考虑因（yīn）素（sù），使（shǐ）效果较大化 , 并（bìng）使系统审核过（guò）程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信息安全认证所需的各项措施的详细指（zhǐ）导，具有很强的可操作性和指导性。

归（guī）根结底（dǐ），信息安（ān）全工作的目的就是在法律、法规、政策的支持与指导下，通过采用（yòng）合适（shì）的安全技术与安全管理（lǐ）措施，提（tí）供安全需求的（de）保（bǎo）证，而 BS7799 信息安全认证标准正（zhèng）是总和了这些要（yào）求。组织可以根据自身特点，在（zài） ISO/IEC 17799 指导下，实（shí）现（xiàn）信（xìn）息安全的要（yào）求。

 ISO27001：2005 《信（xìn）息安（ān）全管理体系（xì）要求》

 ISO27001 ： 2005 《信息（xī）安全管理体系要求》是关于（yú）信息安全管理（lǐ）的标准，是标准不是（shì）方法，达到这（zhè）些标准的要求并（bìng）不难，重要的是用（yòng）什么方法去实现。企业应将实施标（biāo）准作为改善（shàn）内（nèi）部管理的一次机会，不应该将（jiāng）标准做为一种简单的模式对现有流程运作进行（háng）套用，应对现有（yǒu）的组织运作流程进行（háng）详细分析，有针对性地设计并改（gǎi）善现有管理（lǐ）体系、改善薄弱环（huán）节、改善运作流程及内部沟（gōu）通，并有效（xiào）地将（jiāng）先进的管（guǎn）理思想（xiǎng）融合到（dào）具体的实施程（chéng）序中，才能发（fā）挥标准的（de）真正作用。

获得认证证书不是较终（zhōng）目的，建（jiàn）立有责、有（yǒu）序、有效的信息（xī）安全管理体系，提（tí）高员工的信（xìn）息安全（quán）意识，不断获取并运用先进的管理方（fāng）法和技（jì）术手段才能使（shǐ）企业的信（xìn）息安全管理水平得（dé）以持续的发展和提升（shēng）。