信息安全 (Information security): 是指信息（xī）的保（bǎo）密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为（wéi）保障信息仅仅为那些被（bèi）授权使用的（de）人获（huò）取。

 信（xìn）息的保密性是针对信息（xī）被允许（xǔ）访问（wèn）（ Access ）对象的（de）多少而不（bú）同，所有人员都可以访问的信息为公（gōng）开信（xìn）息，需要限制访问的（de）信息一（yī）般为（wéi）敏感信（xìn）息或秘密（mì），秘密可以根据信息（xī）的重要性及保密要求（qiú）分为不同的密级，例如（rú）国家根据秘密泄露对国家经济、安全利（lì）益产（chǎn）生的（de）影响（后果）不（bú）同，将国家秘（mì）密分为秘（mì）密、机密和绝密（mì）三个等（děng）级（jí），组（zǔ）织可根据其信息安全的实际，在符合《国家保密法》的前提下将其信息划（huá）分为不同的密级；对于具体（tǐ）的信息的（de）保密性（xìng）有时效性，如秘密到（dào）期解密等（děng）。

 •  完整性：为保护信息（xī）及其处理方法的准确性和完整性。

信息完整性一方（fāng）面是指信息在利用（yòng）、传输、贮存（cún）等过（guò）程中不（bú）被（bèi）篡改、丢失、缺损（sǔn）等（děng），另一（yī）方面（miàn）是指（zhǐ）信息处理的方（fāng）法的正（zhèng）确性。不正当的操作，如误删除文（wén）件（jiàn），有可能造成重（chóng）要文件的丢失（shī）。

 •  可用性：为保障授权使用人在需（xū）要时可以获取信息（xī）和使用相关的（de）资（zī）产。

信息的（de）可（kě）用性是指（zhǐ）信息及相关的信息资产在（zài）授权人需要的时候，可（kě）以立即获得（dé）。例如通信线（xiàn）路中断故障会造成（chéng）信息的在一段（duàn）时间内不（bú）可用，影响正（zhèng）常的商业运（yùn）作，这是信息可（kě）用性的破坏（huài）。不同类型（xíng）的信息及相应（yīng）资产的信息（xī）安全在保密性、完整性及可（kě）用（yòng）性方面关注点不（bú）同，如（rú）组织（zhī）的专（zhuān）有（yǒu）技术（shù）、市（shì）场营销计划等商业秘密对组织来讲保守（shǒu）机密尤其重要；而（ér）对于（yú）工业自动控制系统，控制信息的完整性相对其保密性重要得多。

为什（shí）么需要信息（xī）安全？

信息、信息处理过程及对（duì）信息起支持作用的信息系统（tǒng）和信息网络都是（shì）重要的商务资产。信息的保密性、完整性和可用性对保持（chí）竞争优势、资金流动（dòng）、效益、法律符合性和商业形象（xiàng）都是至关重要的。然而，越来越多的组织及（jí）其信息系统和网（wǎng）络面临着（zhe）包括计算机诈骗、间谍、蓄意破坏（huài）、火（huǒ）灾、水灾等大（dà）范（fàn）围的安全威胁，诸如计算机病毒、计算机（jī）入侵、 Dos 攻击（jī）等手段造成的信息灾难已变得更加普遍 , 有计划而不易被察觉（jiào）。组织对信息系统和信息服务的依赖意味着更易受（shòu）到安（ān）全威胁的破（pò）坏，公共和（hé）私（sī）人网（wǎng）络的互连及信息资源的共享（xiǎng）增（zēng）大了实现访问控制的难度。许多信息（xī）系统本身（shēn）就不是按照安全系统的要求来设计的，所以仅依靠技术（shù）手段来实现信（xìn）息安全有其局限性，所以（yǐ）信息安（ān）全（quán）的实现须（xū）得到管理和程序控制的适（shì）当支持。确定应采取哪（nǎ）些（xiē）控制（zhì）方式（shì）则需要（yào）周密计划（huá），并（bìng）注意（yì）细节。信息（xī）安全管理至（zhì）少需要组（zǔ）织中的（de）所有雇（gù）员的参与，此（cǐ）外还需要供应商、顾客或股东的参与和信息（xī）安全的（de）专（zhuān）家建议。在信息系统设（shè）计（jì）阶段就（jiù）将安全（quán）要求和控制一（yī）体化考虑，则成本会更低、效率会（huì）更高。

 BS7799的信息管（guǎn）理过程：

①确定信息安全管理方针。

②确定 ISMS( 信息安全管理体（tǐ）系) 的范围

③进行（háng）风险分析。

④选择控制目标（biāo）并（bìng）进行控制。

⑤建立（lì）业（yè）务持续计（jì）划。

⑥建立并实施安全管（guǎn）理体系。

 建立信息安（ān）全管理体系的作用：

 任何组织，不论它在信息技术方（fāng）面如何（hé）努力以及采纳（nà）如（rú）何新的信息安全技术，实际上在信息安全（quán）管理（lǐ）方面都还存在漏洞，例如：

· 缺少信息安全管理论（lùn）坛，安全导向（xiàng）不（bú）明（míng）确，管（guǎn）理支（zhī）持不明（míng）显； 

· 缺少跨部门的信息安全协调机制； 

· 保护特定资产（chǎn）以及完成特定安（ān）全过程的职（zhí）责还不明确（què）； 

· 雇员（yuán）信息安全意（yì）识薄弱，缺少防（fáng）范（fàn）意识，外来人员很容（róng）易直接进入生产（chǎn）和（hé）工作场所； 

· 组织（zhī）信息系统管理（lǐ）制（zhì）度（dù）不够健全； 

· 组织（zhī）信息系（xì）统主（zhǔ）机房安全存（cún）在隐患（huàn），如：防火设施存在问题，与危险（xiǎn）品仓（cāng）库同处一幢办（bàn）公楼等； 

· 组（zǔ）织信息系（xì）统备份设备仍有欠缺； 

· 组织信息系统安全防范（fàn）技术投入欠缺； 

· 软件知识产（chǎn）权保护欠缺； 

· 计（jì）算机房、办（bàn）公场所等物理防范（fàn）措施（shī）欠缺（quē）； 

· 档（dàng）案、记录等缺少（shǎo）可靠贮存场所； 

· 缺少一旦（dàn）发生意外时的保（bǎo）证生产经营连续性（xìng）的（de）措（cuò）施和计划； 

        ……等等。

为什么要（yào）建立和（hé）实施（shī）ISO27001信息安（ān）全管理体系认证（2）

其（qí）实（shí），组织可以参（cān）照（zhào）信息安全（quán）管（guǎn）理模型（xíng），按照先进（jìn）的信（xìn）息（xī）安全管理标（biāo）准 BS7799 标准建立（lì）组织完整的信（xìn）息安全管（guǎn）理（lǐ）体系（xì）并实施与保持，达到动态的、系统的（de）、全员（yuán）参与、制度化的、以预防为（wéi）主（zhǔ）的信（xìn）息安全管（guǎn）理方（fāng）式，用较低的成（chéng）本，达到可接受的信（xìn）息安全水平（píng），就可（kě）以从根本上保证（zhèng）业务的连续性。组织建（jiàn）立、实施与保持（chí）信息安全管理体系（xì）将会产生如下作用：

· 强化员（yuán）工的信（xìn）息安全意识（shí），规范组（zǔ）织信息安全行为； 

· 对组（zǔ）织的（de）关键信息资产（chǎn）进行（háng）全面（miàn）系（xì）统的保护，维持竞争优势； 

· 在信息系统受到侵袭时，确保业务持续（xù）开展（zhǎn）并（bìng）将损失降到较低程度（dù）； 

· 使组织的（de）生意伙（huǒ）伴（bàn）和客户（hù）对组织（zhī）充满信心； 

· 如果（guǒ）通（tōng）过体系认证，表明体系符合（hé）标准，证明组织有能力（lì）保障重要信息，提高（gāo）组织的（de）名度与（yǔ）信任度； 

· 促使管理层（céng）坚持贯彻信息安全保障体系。 

BS7799标（biāo）准（zhǔn）概述：

· 1995 年，英国贸工部根据英国国内企业对信息安全日益高涨的呼（hū）声（shēng），组织（zhī）大（dà）企（qǐ）业的信（xìn）息安（ān）全经理们，制定了（le）世界上（shàng）第一个信息安全管理体系标准 BS7799-1 ： 1995 《信息安全（quán）管理实施（shī）规则》，作为（wéi）工商业和大、中、小型组织（zhī）实（shí）施信（xìn）息安全管理的指南（nán）。由于（yú）该标准采用建议和指导方式编写（xiě），因而不宜（yí）作为（wéi）认（rèn）证标准使（shǐ）用。 

· 1998 年，为了适应第三方认证（zhèng）的需要，英国又制定（dìng）了第一个信（xìn）息安全管理体系（xì）认证标准 --BS7799-2 ： 1998 《信息安全管理体系规（guī）范》，作为对一个组（zǔ）织的全部（bù）或部分信息安全管理体系进行评审认证的（de）依（yī）据标准。 

· 1999 年，鉴（jiàn）于计算机和（hé）信息处理（lǐ）技（jì）术，尤其（qí）是网络和通（tōng）信领域应用的迅速发展，英国又（yòu）对信息安全（quán）管理体系标准进行了修（xiū）订（dìng）。修订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代（dài）了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的（de） 1999 版（bǎn）标（biāo）准进一步强调了组织（zhī）在商务（wù）工作中（zhōng）所涉及的信息安全和（hé）信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套（tào）标准， BS7799-1 ： 1999 为如何建（jiàn）立（lì）和实（shí）施符合 BS7799-2 ： 1999 标准要求的（de）信息安全管理体系提供了较佳的（de）应用（yòng）建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正（zhèng）式采（cǎi）纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息（xī）技术（shù）—信息（xī）安全管理实施规则》，另外（wài）， BS7799-2 ： 1999 也即（jí）将于 2002 年（nián）底被（bèi） ISO/IEC 作为蓝本修订后成为可用于认证的（de） ISO/IEC 的《信息安全管理体系（xì）规范》。 

信（xìn）息（xī）安（ān）全认证是实现信息安全（quán）目标的较（jiào）佳途径：

BS7799-2：2002信息安全管理体系规范向组（zǔ）织提（tí）出了一（yī）系列认（rèn）证的要求，在总则（zé）中提出组（zǔ）织（zhī）应建立（lì）并（bìng）保持（chí）一个文件化的信息安全（quán）管理体系，阐述被保护的资产、组织风险管理的（de）渠道、控制目标（biāo）及控制方式和需要（yào）的保证（zhèng）等级（jí）；通过建立（lì）管（guǎn）理架构并（bìng）加以（yǐ）实施来达到识别控（kòng）制目标（biāo）和控制方式，并（bìng）形（xíng）成文件和记录（lù）。

BS7799-2：2002的控制细则（zé）包（bāo）括10个方面： 　

· 安全方针：为信息安（ān）全提供管理指导和支（zhī）持； 

· 组织安全：建立信息安全（quán）架构（gòu），保（bǎo）证组织的（de）内部管理；被第三方访（fǎng）问或外协时，保障组（zǔ）织（zhī）的信息安全； 

· 资产的归类与控制：明确资产责任（rèn），保持（chí）对组织资产的适当（dāng）保护（hù）；将信息（xī）进（jìn）行（háng）归类，确保信息资产受到适当程度的保护（hù）； 

· 人（rén）员安（ān）全：在工（gōng）作（zuò）说明和资源（yuán）方面，减少因人为错误、盗窃、欺诈和设施误用造（zào）成的风险（xiǎn）；加强用（yòng）户培（péi）训，确（què）保用（yòng）户清楚知道（dào）信息安全的危险性和相关事项，以便在他们的日常（cháng）工作中支持组织的安全方针；制（zhì）定（dìng）安全事故或故障的（de）反应程（chéng）序，减少由安全（quán）事故和故障造成的损失，监控安全事件并从这（zhè）种事件中吸取教训； 

· 实（shí）物与环境安全：确定（dìng）安全（quán）区域，防止（zhǐ）非授权访问、破坏（huài）、干扰商务场所（suǒ）和（hé）信息；通过保障设备安（ān）全，防止资产的（de）丢失（shī）、破坏、资产危害（hài）及（jí）商（shāng）务活（huó）动的中（zhōng）断；采用通用的控制方式，防止信息（xī）或（huò）信（xìn）息处理设施损坏或失窃； 

· 通信和操作（zuò）方式管理：明确操作程（chéng）序及其（qí）责任，确保信息处理设施的正确、安全（quán）操作；加强（qiáng）系统策划与验收（shōu），减少系统失效风险；防范恶意软件以（yǐ）保持软件和信（xìn）息的完整性；加强内务管理以（yǐ）保持（chí）信息处理和通（tōng）讯服务的完整性和（hé）有效性通（tōng）过 ; 加强网（wǎng）络管理确保网络（luò）中的信息（xī）安全及（jí）其辅（fǔ）助（zhù）设施受到保（bǎo）护；通过（guò）保护媒（méi）体处理的安全 , 防止资产损坏和商务（wù）活（huó）动的中断（duàn）；加强（qiáng）信息和（hé）软件的交（jiāo）换的管理，防止组（zǔ）织间在交换信（xìn）息时发生（shēng）丢失（shī）、更改和（hé）误（wù）用； 

· 访问（wèn）控（kòng）制：按照访问（wèn）控制（zhì）的（de）商（shāng）务要求，控制信（xìn）息（xī）访问；加强用户访问管理，防止非授（shòu）权访问（wèn）信息（xī）系统；明确（què）用户职责，防（fáng）止非授权（quán）的用户访问；加强（qiáng）网络访问控制，保护网络服务程序；加强操作系统访问控制 , 防止（zhǐ）非授权的计算机访问；加强应用访问控制（zhì），防（fáng）止非授权访问（wèn）系统（tǒng）中的（de）信息（xī）；通过监控系（xì）统（tǒng）的（de）访问与使用，监测（cè）非授权行为；在移（yí）动式计算和电（diàn）传工作方面（miàn） , 确保使用移动式计算和（hé）电传工作设施（shī）的信（xìn）息安全（quán）； 

· 系统开（kāi）发与维护：明确系统安全要（yào）求，确保（bǎo）安全性已构成（chéng）信息系统的一（yī）部份（fèn）；加强应用系统的安全，防止（zhǐ）应用（yòng）系统用（yòng）户数（shù）据（jù）的丢失（shī）、被（bèi）修改或误用（yòng）；加强密码技术（shù）控制，保护信息的保密性、可靠性或完整性；加强系统文件的（de）安全，确保 IT 方案及其（qí）支持活动以安全的方式（shì）进行；加强开发和支持（chí）过（guò）程的安全，确保应用系统软件和信息的（de）安全； 

· 商务连续性管理：防止商务活（huó）动的中断及（jí）保护关（guān）键商务过程不受重大失误或灾（zāi）难事故的影响（xiǎng）； 

· 符合：符（fú）合法律法（fǎ）规要求，避（bì）免刑法（fǎ）、民（mín）法（fǎ）、有关（guān）法（fǎ）令法规或合（hé）同（tóng）约定（dìng）事宜（yí）及其他安全要求的规定相抵触（chù）；加（jiā）强安全（quán）方（fāng）针和技术符合性评审，确保体系按照组织的安全方针及标准执行；系统审核考虑因素，使效果（guǒ）较大化 , 并使系统审（shěn）核过程的影（yǐng）响（xiǎng）较（jiào）小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信息安全认证所需的各项措施的详（xiáng）细（xì）指导，具有很强的可操作（zuò）性和指导性（xìng）。

归根结（jié）底，信息安全工作（zuò）的目的就是在法律、法规、政策的支持与（yǔ）指导下，通过采用合适的安全技术（shù）与安全管（guǎn）理措施，提供安全需求的保（bǎo）证，而 BS7799 信息（xī）安全认证标（biāo）准正是（shì）总和了这些要求。组织可以根（gēn）据自身（shēn）特点，在 ISO/IEC 17799 指导下，实现（xiàn）信息（xī）安（ān）全的（de）要求。

 ISO27001：2005 《信息（xī）安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安（ān）全管理体（tǐ）系（xì）要求》是关于信息安全管理（lǐ）的（de）标准，是标（biāo）准不（bú）是方法，达到这些标准的要求（qiú）并不难，重要的是用（yòng）什么方法去实现。企业应将实施（shī）标准作（zuò）为改善内部管理的一次机会，不应该将标准（zhǔn）做为一种简（jiǎn）单的模式对现有流程（chéng）运作（zuò）进（jìn）行套用，应对现（xiàn）有的组织运作流（liú）程进行详细分析（xī），有针对（duì）性地设计（jì）并改善（shàn）现有管（guǎn）理体系、改（gǎi）善薄弱环（huán）节、改善运作（zuò）流程及（jí）内部沟通，并有效地将先（xiān）进的管理思（sī）想融（róng）合到（dào）具体（tǐ）的实（shí）施程序中，才能发挥标（biāo）准的真正作用。

获得认证证书不是较终目的，建（jiàn）立（lì）有责（zé）、有（yǒu）序、有效的信（xìn）息安全管理体系（xì），提高员工（gōng）的信（xìn）息（xī）安全（quán）意识，不断获取并运用先进的管理方法（fǎ）和技术（shù）手段（duàn）才能（néng）使企业的（de）信息安全（quán）管理水平（píng）得以持续的发展和提升。