信息安（ān）全 (Information security): 是指信息（xī）的保密性（xìng） (Confidentiality) 、完整（zhěng）性 (Integrity) 和可用性 (Availability) 的保持（chí）。

•  保密（mì）性：为（wéi）保障信息仅仅（jǐn）为那些被授权使用（yòng）的人获取。

 信息的保密性是针对信息被允（yǔn）许访问（ Access ）对象的（de）多少而不同（tóng），所有人员都可以访问的信息为公开（kāi）信息（xī），需要限制访（fǎng）问的信息一般为敏感信（xìn）息（xī）或秘密，秘密（mì）可以根据信息的重要性及保密要求分为不同的密级，例如国家根（gēn）据（jù）秘密（mì）泄露对国家经济、安全利（lì）益产（chǎn）生的影响（xiǎng）（后（hòu）果）不同，将（jiāng）国家秘密分（fèn）为秘密、机（jī）密（mì）和绝密三个等级，组织可根据其信息安全的（de）实际，在符合《国（guó）家保密法（fǎ）》的前（qián）提（tí）下将其（qí）信息划分为（wéi）不同的密级；对于具体的信息的（de）保密性有时效（xiào）性，如秘密（mì）到期解密等。

 •  完整性：为（wéi）保护信息及（jí）其处理方法的准确性和完整性。

信息完整性一方面是指（zhǐ）信息（xī）在利用、传输、贮（zhù）存等过程中不被篡改、丢失、缺损等，另一方面（miàn）是（shì）指信息处理（lǐ）的方法的正确（què）性。不正当（dāng）的（de）操作，如误删除文件，有可（kě）能（néng）造成重（chóng）要文件的丢失。

 •  可用（yòng）性：为（wéi）保障授权（quán）使（shǐ）用人在需要时（shí）可（kě）以获取信息和使用相关的资产（chǎn）。

信（xìn）息的可用性（xìng）是（shì）指信息及（jí）相关的（de）信息（xī）资产（chǎn）在授权人需要的时候，可以立即获（huò）得。例如通（tōng）信线路中断（duàn）故障会造成（chéng）信（xìn）息的在（zài）一段时间内不可用，影响正常的商业运作，这是信息可（kě）用性（xìng）的破坏。不同类型的（de）信息及相应（yīng）资（zī）产的信息（xī）安全在保密性、完整性及（jí）可用性方面关注点不（bú）同，如组织的专有技（jì）术、市场营销计（jì）划等商业秘密对组织来讲保守机密尤（yóu）其（qí）重（chóng）要（yào）；而对（duì）于工业自（zì）动控制系统，控制信息的（de）完整性（xìng）相（xiàng）对其保（bǎo）密性重要得多。

为什么需要信（xìn）息（xī）安全（quán）？

信息、信息（xī）处理过（guò）程及对信息起（qǐ）支持作用的（de）信息（xī）系统和信息网络都是重要的商务资产。信息的保密（mì）性、完整性和可用性对保持竞争优势、资金流动、效益（yì）、法律符合性和商业形象都是至关重要的。然而，越来越（yuè）多的组织（zhī）及其信息系统和网络面临着包括计算机诈骗（piàn）、间谍、蓄意破坏、火（huǒ）灾、水灾等大范围的安全（quán）威胁，诸如计（jì）算机病毒、计算机入侵、 Dos 攻击等手（shǒu）段造成的信息灾难已变得更加普遍（biàn） , 有计划而不易（yì）被察觉。组织对信息系统和信（xìn）息服务的依赖意味着更易受到安全（quán）威胁的（de）破坏，公共和私人网络的（de）互连（lián）及信（xìn）息资源（yuán）的共享增大（dà）了实现访问控（kòng）制的难度。许（xǔ）多信息系统本身就（jiù）不是按照安全系统的（de）要（yào）求来设计的，所以仅（jǐn）依靠技术（shù）手段来实现信息安全有其局限性，所以信息安全的实现须得到管理和程（chéng）序控制的适当（dāng）支持。确定应（yīng）采取哪些（xiē）控制方式则需要（yào）周密计（jì）划，并注意细节（jiē）。信（xìn）息安全管（guǎn）理至少需要组织中（zhōng）的所有雇员的参与，此外还需（xū）要（yào）供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶（jiē）段就将安全要求和（hé）控制一体化（huà）考虑，则成本会更（gèng）低、效率会（huì）更高。

 BS7799的信（xìn）息（xī）管理过（guò）程：

①确定（dìng）信息安全管理方针（zhēn）。

②确定 ISMS( 信（xìn）息安全管理体系) 的范（fàn）围

③进行风险分（fèn）析。

④选择控（kòng）制目标（biāo）并进行控制。

⑤建立（lì）业务持续计划。

⑥建立并实施安全管理（lǐ）体（tǐ）系。

 建立信息安全管理体系的作（zuò）用：

 任（rèn）何组织，不论它在信息技（jì）术方面如何努力以（yǐ）及采纳如何新的信息安全技术（shù），实际上在信息安（ān）全管（guǎn）理方面都还（hái）存（cún）在漏洞，例如：

· 缺少信息安全管理论坛，安（ān）全导向不（bú）明确，管（guǎn）理支持不明显； 

· 缺少（shǎo）跨（kuà）部门的信息安全协调机（jī）制； 

· 保护特（tè）定资产以及完（wán）成特定安全过程（chéng）的职责还不明（míng）确（què）； 

· 雇员信息安全意（yì）识薄弱，缺（quē）少（shǎo）防范意识（shí），外（wài）来（lái）人（rén）员很容易直接进入生产和工作（zuò）场所； 

· 组织信息系统管理制度不（bú）够健全； 

· 组织信（xìn）息系统主（zhǔ）机房安全存在隐患，如：防火（huǒ）设施存在问题，与危险品仓（cāng）库同处一（yī）幢办公（gōng）楼等； 

· 组织信息（xī）系（xì）统备份（fèn）设备仍有欠缺； 

· 组织信息系统（tǒng）安全防范技术投入（rù）欠缺； 

· 软（ruǎn）件（jiàn）知识产权保护欠缺； 

· 计算机（jī）房、办公场所等物理防范措施欠缺； 

· 档（dàng）案（àn）、记（jì）录等缺少可靠贮存场所； 

· 缺少一旦（dàn）发（fā）生（shēng）意外时的保证生产经营连续性的措（cuò）施（shī）和计划； 

        ……等等。

为什么（me）要建（jiàn）立和实施（shī）ISO27001信息安全管理体系认（rèn）证（2）

其实，组织可以参照信息安全管理模型，按照先（xiān）进的信（xìn）息安全（quán）管理标准（zhǔn） BS7799 标准建立组织完整的信息安全管理体系并实施与保持，达（dá）到（dào）动（dòng）态的（de）、系统（tǒng）的（de）、全员参与、制（zhì）度化（huà）的、以（yǐ）预防为主的（de）信息（xī）安全管（guǎn）理方（fāng）式，用（yòng）较（jiào）低（dī）的成本，达到可接（jiē）受的信（xìn）息（xī）安全水平，就可（kě）以（yǐ）从根本上（shàng）保证业务（wù）的连续性（xìng）。组织建立、实（shí）施（shī）与保持信（xìn）息安全（quán）管理（lǐ）体系将会产（chǎn）生如下作用：

· 强化（huà）员（yuán）工的信（xìn）息安全意识，规范组织信息安（ān）全行（háng）为； 

· 对（duì）组织的关（guān）键信息（xī）资产进行全（quán）面系统的保护，维持竞（jìng）争优势（shì）； 

· 在信息系（xì）统（tǒng）受到侵袭时，确保业务持续开（kāi）展（zhǎn）并（bìng）将损（sǔn）失降到较低程度（dù）； 

· 使组织的（de）生意伙（huǒ）伴（bàn）和客户对组织充满信心； 

· 如果通过体系认证，表（biǎo）明体系符合标准（zhǔn），证明组织有能力保障重（chóng）要（yào）信息，提高组织的名度与信任（rèn）度； 

· 促使（shǐ）管（guǎn）理层坚（jiān）持贯彻（chè）信息安全保障体系（xì）。 

BS7799标准概（gài）述：

· 1995 年，英国贸工部根据英（yīng）国国内企业对（duì）信（xìn）息安全日益高涨的呼声，组织大企业的信息安全经（jīng）理们，制定了世界上第一个信息安全管（guǎn）理体（tǐ）系标（biāo）准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大（dà）、中（zhōng）、小型组织实施信息安全（quán）管（guǎn）理（lǐ）的指南。由于该标准采用（yòng）建议和指导方式（shì）编写，因而（ér）不宜作为认（rèn）证标准使用。 

· 1998 年，为（wéi）了适应第三方（fāng）认证的需（xū）要，英国又制定了第（dì）一个信（xìn）息（xī）安全管理体系认证标准 --BS7799-2 ： 1998 《信息安全管理（lǐ）体系规范》，作（zuò）为对一（yī）个组织的全部或部分（fèn）信息安全管理体系（xì）进行评审（shěn）认证的依据标准。 

· 1999 年（nián），鉴于计算机和信息处理技术，尤其是网络和通（tōng）信领域应（yīng）用的迅速发展，英国又对信息安全管理（lǐ）体系标准进行（háng）了修（xiū）订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新（xīn）修订的 1999 版（bǎn）标准进一步强调了（le）组织在商务（wù）工（gōng）作中所涉及的信（xìn）息安（ān）全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对（duì）配套标准， BS7799-1 ： 1999 为如何建立和实施符合（hé） BS7799-2 ： 1999 标（biāo）准要求的信息（xī）安（ān）全管理体系提供了较佳的应用（yòng）建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳（nà）成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术—信息（xī）安全管理（lǐ）实（shí）施（shī）规（guī）则》，另外（wài）， BS7799-2 ： 1999 也即将（jiāng）于 2002 年底被 ISO/IEC 作（zuò）为蓝本修订后成为可用于（yú）认（rèn）证的 ISO/IEC 的《信息安全（quán）管理（lǐ）体（tǐ）系规范》。 

信（xìn）息（xī）安全（quán）认证是实现（xiàn）信息（xī）安全目标的较佳途径：

BS7799-2：2002信（xìn）息安（ān）全（quán）管理体系规范向组（zǔ）织提出了一系列认证的要（yào）求，在总则中提出组织应（yīng）建立并保（bǎo）持（chí）一个文件化的（de）信息安全管理体（tǐ）系（xì），阐述被保（bǎo）护的资产、组织风险管理的（de）渠道、控制（zhì）目标及（jí）控（kòng）制方式和（hé）需要（yào）的保证等级；通过建立（lì）管理（lǐ）架构并加（jiā）以实施来达到识别控制目标和控制方式，并形成文件和（hé）记录（lù）。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方（fāng）针：为信（xìn）息安全提供管（guǎn）理指导（dǎo）和支（zhī）持； 

· 组织安全（quán）：建立信息（xī）安全架（jià）构，保证组织的（de）内部管（guǎn）理；被第三方访问或外协时，保障组织的信息安全； 

· 资产的归类与控制：明确资产责任，保持对（duì）组织资产的适当保（bǎo）护；将信息（xī）进行归类，确保信（xìn）息资产受（shòu）到适当（dāng）程度的保（bǎo）护； 

· 人员安（ān）全：在工作说明和资源（yuán）方面，减（jiǎn）少因人为错误、盗窃、欺诈和设施误用（yòng）造成的风险；加强用户培训，确保（bǎo）用（yòng）户清楚知道（dào）信息安全（quán）的（de）危（wēi）险性和（hé）相关事（shì）项，以（yǐ）便在他（tā）们的日常工作中（zhōng）支持（chí）组织的安全方（fāng）针；制定（dìng）安（ān）全（quán）事故或故障的反（fǎn）应程序，减少（shǎo）由安全事故（gù）和故障造成的（de）损失，监（jiān）控安全事件并从（cóng）这种事（shì）件中吸（xī）取教训； 

· 实物与环（huán）境（jìng）安全：确定安全区域（yù），防止非授（shòu）权访问（wèn）、破坏、干（gàn）扰商务场所和（hé）信（xìn）息；通（tōng）过保障（zhàng）设备安全，防止资产的丢（diū）失、破坏、资产危害及商（shāng）务（wù）活动（dòng）的中断（duàn）；采用通用的控（kòng）制方式（shì），防止信息（xī）或信（xìn）息处（chù）理设施损坏或失窃； 

· 通信（xìn）和（hé）操作方（fāng）式（shì）管理：明确（què）操作程（chéng）序及其责任（rèn），确（què）保信息处（chù）理（lǐ）设施的正确、安（ān）全（quán）操作；加强系统策（cè）划（huá）与验收，减（jiǎn）少系（xì）统失效风险（xiǎn）；防范恶意软件以保持（chí）软件和信息的完整性；加强（qiáng）内务管理以保持信（xìn）息（xī）处理和通（tōng）讯服（fú）务的完（wán）整性（xìng）和有效性通（tōng）过 ; 加（jiā）强网络（luò）管理确保网络中的信（xìn）息（xī）安全及（jí）其（qí）辅助（zhù）设施受到保护；通过保护媒体处（chù）理（lǐ）的安全（quán） , 防止资产损坏和商务活动的（de）中断（duàn）；加强信息和软件的（de）交换（huàn）的管（guǎn）理，防止（zhǐ）组织间在交（jiāo）换信息时发生丢失、更（gèng）改（gǎi）和误用； 

· 访问控制：按照访（fǎng）问控（kòng）制的商务要（yào）求，控制信息访问；加强用户访（fǎng）问管理，防（fáng）止非授权访问信息系统；明（míng）确用户（hù）职责，防止非授权的用户访（fǎng）问；加强网（wǎng）络访问控（kòng）制，保护网络服务程序；加强操作系（xì）统访问控制 , 防止非授权的计（jì）算机（jī）访问；加强应用访问控制，防（fáng）止非授权访问系统中的信息；通过监控系（xì）统的访（fǎng）问与使用，监测非（fēi）授权行为；在移（yí）动式计算和电传工（gōng）作方（fāng）面 , 确保使用移动（dòng）式（shì）计算和电传工（gōng）作设施的信（xìn）息安全； 

· 系统开发与维护：明确系统安（ān）全（quán）要求，确（què）保安全性已构（gòu）成信息系统的一（yī）部份；加强应用系统的（de）安全，防（fáng）止应用系统用户数据的（de）丢失、被（bèi）修改或误用（yòng）；加强（qiáng）密码技术控制，保护信息（xī）的保密性（xìng）、可靠性或完整性；加强系统文件的安全（quán），确（què）保 IT 方案及（jí）其支（zhī）持活动以安（ān）全的方式进行；加强开发和支持过程的安全，确（què）保应用（yòng）系（xì）统（tǒng）软件（jiàn）和（hé）信息的安全（quán）； 

· 商务连续性管理：防止（zhǐ）商务活动的中断及保（bǎo）护关键商（shāng）务过程不（bú）受重大失误或灾（zāi）难事故的（de）影（yǐng）响； 

· 符合：符合法（fǎ）律法规要求，避免刑法、民法、有关（guān）法令法规或合同约（yuē）定事宜及其他安全要求（qiú）的规定相（xiàng）抵触；加强安（ān）全方针和（hé）技（jì）术符合性评审，确保体系（xì）按照组织的安全（quán）方针及标准执行；系统（tǒng）审核（hé）考虑因素，使效果较大化 , 并使系统审核过程的影响较小（xiǎo）化（huà）。 　 

在国（guó）际标准 ISO/IEC17799 给出了为（wéi）实现信息安全（quán）认证所需的各项措施的（de）详（xiáng）细（xì）指导，具有很强的可操作性和指导性。

归根结（jié）底，信（xìn）息安全工作的目的就（jiù）是在法律、法规、政策的支持与指导下，通过采用合适的安全技术（shù）与安（ān）全（quán）管（guǎn）理措施（shī），提供安全需求的保证，而 BS7799 信（xìn）息安全认证标准正是总（zǒng）和了（le）这些要求。组（zǔ）织可以根据自身特（tè）点，在 ISO/IEC 17799 指导下，实现信息（xī）安全的（de）要（yào）求。

 ISO27001：2005 《信息安（ān）全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理（lǐ）体系要求》是关于信（xìn）息安全管理（lǐ）的标准，是（shì）标准不是方法，达（dá）到这些标准的要求并不难，重要（yào）的是用什么方法去实现。企业（yè）应将实（shí）施标准作为改善内部管（guǎn）理的（de）一次机会，不应该将标准做为一种（zhǒng）简单（dān）的模式对（duì）现有流程（chéng）运（yùn）作进（jìn）行套用，应对现有（yǒu）的组织（zhī）运作流程（chéng）进行详细分析，有针对（duì）性地（dì）设计（jì）并改善现有管理体（tǐ）系、改善薄弱环节、改善（shàn）运作（zuò）流（liú）程及内部沟通，并（bìng）有效地将先进的管理思想融（róng）合到具体的实施程序中，才能发挥（huī）标准的真正作（zuò）用。

获得认证证书不是（shì）较终目的，建立有（yǒu）责、有（yǒu）序、有（yǒu）效的信息安全管理体系，提高（gāo）员（yuán）工的信（xìn）息安（ān）全（quán）意识，不（bú）断获取并运用先（xiān）进的管理方法和技术手段才能使企业的（de）信（xìn）息安（ān）全管理水平得（dé）以持续的（de）发展和提升（shēng）。