信息安全（quán） (Information security): 是指信（xìn）息的（de）保密性 (Confidentiality) 、完整性 (Integrity) 和（hé）可用性 (Availability) 的（de）保持。

•  保（bǎo）密性：为保障信息仅仅（jǐn）为那些被授权（quán）使（shǐ）用的人获取。

 信息的保密（mì）性是针对（duì）信息被（bèi）允许访（fǎng）问（ Access ）对象的（de）多少而不（bú）同，所有人员都可以访问的信息为公开（kāi）信息（xī），需要限制（zhì）访问的信息一般为敏感信息或（huò）秘密，秘密可以（yǐ）根据信（xìn）息的重要性及保密要求（qiú）分为不同的密级（jí），例如国（guó）家根（gēn）据秘密（mì）泄（xiè）露对国家经（jīng）济、安全利益产生的影响（后果）不同，将国家（jiā）秘密分为（wéi）秘密、机密和绝密（mì）三个等级（jí），组织可根据其信息安全的实际，在符（fú）合（hé）《国家保密法》的（de）前提下将其信息划分为不同的（de）密级；对于（yú）具体的信息的保密（mì）性有时效（xiào）性，如秘密到期（qī）解密等。

 •  完整（zhěng）性（xìng）：为保护信息及其处理方法的准确性和完整性。

信息（xī）完整性一方面（miàn）是指信息在（zài）利用（yòng）、传输（shū）、贮（zhù）存等（děng）过程中不（bú）被（bèi）篡改（gǎi）、丢失、缺损等，另一方面是（shì）指信息处理的方法的正确（què）性。不正当的操作，如误（wù）删（shān）除文（wén）件，有可能造成重要文件的丢失（shī）。

 •  可用性：为保障授权使用人在需要时可以获取信息和（hé）使用（yòng）相（xiàng）关（guān）的资产。

信息的（de）可用（yòng）性是指信息及相关的信息资产在授权人（rén）需要的时候，可以（yǐ）立即获得。例如通信（xìn）线路（lù）中断故障会造成信（xìn）息的在（zài）一段时间内不（bú）可用，影响（xiǎng）正常（cháng）的商业运作，这是信息（xī）可用性的破坏（huài）。不同类型（xíng）的（de）信息及相应资（zī）产（chǎn）的信息（xī）安全在（zài）保（bǎo）密性（xìng）、完整（zhěng）性及可用性方面关注点不同，如组织的专有技术（shù）、市场营销计划等商业秘密对组织来（lái）讲保守机密尤其（qí）重要；而对于工业自动控制系统，控制信息的完整性相对其（qí）保密性重（chóng）要得多。

为什么（me）需要信息（xī）安全？

信息、信息（xī）处理（lǐ）过程及对信息起支持（chí）作（zuò）用的信息系统（tǒng）和信息（xī）网络（luò）都是重要的（de）商务资产（chǎn）。信息的保密性、完整性和可用性对保（bǎo）持竞争优势（shì）、资金（jīn）流动、效益、法律符合性和商业形（xíng）象都是至关重要的。然而，越来越多的组织及其（qí）信息系（xì）统（tǒng）和网（wǎng）络面临着包括（kuò）计算机诈骗（piàn）、间谍（dié）、蓄意破坏、火（huǒ）灾、水灾等大范围的安全威胁（xié），诸如计算机（jī）病毒、计（jì）算机入侵、 Dos 攻（gōng）击等手（shǒu）段造成的信息灾难已变得（dé）更加普遍 , 有计（jì）划而不易被察觉（jiào）。组织对信息系统和信息服务的依赖（lài）意味（wèi）着更易受到安全威胁的破坏，公共和私人（rén）网络的互连及信（xìn）息资源的共享增大了实现访问控制的难度。许（xǔ）多信息系统本（běn）身就不（bú）是按照（zhào）安全系统的要求来设计（jì）的，所（suǒ）以仅依靠技术手（shǒu）段来实现（xiàn）信息安全有其局限性（xìng），所以信息安全的实现须得到管理和程序控制的适当支持。确定应采取哪些控制方式（shì）则需要周密计（jì）划，并注意细节。信息安全管理至少需（xū）要组织中的所有雇员的参与，此外还需要供（gòng）应商、顾客或（huò）股东的参与和信息安（ān）全的专家建议。在信息系统设（shè）计阶段就将（jiāng）安全要（yào）求和控制（zhì）一体化考虑，则成本会更低、效率会更高。

 BS7799的信息管理过程：

①确（què）定信（xìn）息安全管理方针（zhēn）。

②确定 ISMS( 信息安全管理体系) 的范围

③进行风险分析。

④选择控制目（mù）标并（bìng）进行控制。

⑤建立业务持续计划。

⑥建立并（bìng）实施安全管理体系。

 建立信息安全（quán）管理体系的作用：

 任何组织，不论它在信息技（jì）术方面如何努（nǔ）力以及采纳如何新的信息安全技术，实际上在信息安全管理方面（miàn）都还（hái）存在漏洞，例如：

· 缺（quē）少信息安全管（guǎn）理论坛，安全（quán）导（dǎo）向不明（míng）确，管（guǎn）理支（zhī）持不明显； 

· 缺少（shǎo）跨（kuà）部门的信息安全（quán）协调机（jī）制； 

· 保护特定资产以及完成特定（dìng）安全（quán）过程的职（zhí）责还不（bú）明确； 

· 雇员信息安全（quán）意识薄弱（ruò），缺少防范意识，外（wài）来人员很容易直（zhí）接（jiē）进入生产和工作场所（suǒ）； 

· 组织（zhī）信息系统（tǒng）管理制度不够健全； 

· 组（zǔ）织信息系统主机房安全（quán）存（cún）在隐患（huàn），如（rú）：防火设施存在问题，与危险（xiǎn）品仓库同处一（yī）幢办公楼等； 

· 组织信息系统备（bèi）份设备仍有欠缺（quē）； 

· 组织（zhī）信息系（xì）统安（ān）全（quán）防范技术投入欠缺； 

· 软件知识（shí）产权（quán）保护欠缺； 

· 计（jì）算机房、办公场所等物理防范（fàn）措施欠缺； 

· 档案、记录等缺少可靠贮（zhù）存场所； 

· 缺少一旦发生意外（wài）时的保证生（shēng）产经营连续性的措（cuò）施和计划； 

        ……等等（děng）。

为什么要建立和（hé）实施ISO27001信息安（ān）全管理体系认证（2）

其实，组织可以参（cān）照信息安全管（guǎn）理模型，按照（zhào）先进的信（xìn）息（xī）安全管理标准 BS7799 标准建立组（zǔ）织完整的信（xìn）息安全管理体系并实施与（yǔ）保（bǎo）持，达到动态（tài）的（de）、系（xì）统的、全员参（cān）与、制度（dù）化的、以（yǐ）预防为（wéi）主的信息安全管理方式，用较低（dī）的成（chéng）本（běn），达到可接受（shòu）的信息（xī）安全水（shuǐ）平，就（jiù）可以从根（gēn）本（běn）上保证业（yè）务的连（lián）续性（xìng）。组织建立、实施与保持信息安全（quán）管理体系将会产生如（rú）下（xià）作用：

· 强化员工的信息安全意识，规范组织信息安全行为； 

· 对组织的关键信息资产（chǎn）进（jìn）行全面系统的保护，维（wéi）持竞争优势； 

· 在信息系统受到侵袭时，确保业务持（chí）续开展（zhǎn）并将损（sǔn）失降到较低（dī）程（chéng）度； 

· 使组织的（de）生意伙伴和客（kè）户对（duì）组织充满信（xìn）心； 

· 如果通（tōng）过体系认证，表明体（tǐ）系符合（hé）标（biāo）准（zhǔn），证明组织有能力保（bǎo）障重（chóng）要信息，提高组织的（de）名（míng）度与信（xìn）任度（dù）； 

· 促使管理层坚持贯彻信（xìn）息（xī）安全保障体系。 

BS7799标准（zhǔn）概述：

· 1995 年（nián），英（yīng）国贸工（gōng）部根据（jù）英国国内企业对信息安全（quán）日益高涨的（de）呼声（shēng），组（zǔ）织大企业的信息安全（quán）经理们，制定（dìng）了世界上第一个信息安（ān）全管理体系标准 BS7799-1 ： 1995 《信息安全（quán）管理实（shí）施规则》，作（zuò）为工商（shāng）业和大、中、小型组织实施信息安（ān）全管理的指南。由于（yú）该标准采用（yòng）建议和指导方（fāng）式编（biān）写，因而不宜作（zuò）为认证（zhèng）标准使用。 

· 1998 年，为（wéi）了（le）适应第三（sān）方认证的需要，英国又（yòu）制定了第一（yī）个信息安（ān）全管理体系认证标准 --BS7799-2 ： 1998 《信息安（ān）全管（guǎn）理体系规范》，作为（wéi）对一个组织的全部或部分（fèn）信息安（ān）全（quán）管理体（tǐ）系进行评审认（rèn）证的依据标（biāo）准。 

· 1999 年，鉴于（yú）计算机和信息处（chù）理技术，尤其是网络（luò）和通信领（lǐng）域应用的迅速发展，英（yīng）国又对信息安全管理体系标准进（jìn）行了修订。修订后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准（zhǔn）进（jìn）一步强（qiáng）调了组织在商务工（gōng）作中所涉及的信息安全和信（xìn）息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建（jiàn）立和（hé）实施符合（hé） BS7799-2 ： 1999 标准（zhǔn）要（yào）求（qiú）的信息安全管理体系提供了较（jiào）佳的应用建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经（jīng）被 ISO/IEC 正（zhèng）式采（cǎi）纳（nà）成（chéng）为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实（shí）施规则》，另外（wài）， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作为蓝本修订后成为可用于认证的 ISO/IEC 的《信息安全管理体系（xì）规范》。 

信息安全认证是实现信息安全目标（biāo）的较佳途（tú）径：

BS7799-2：2002信息安全管（guǎn）理体（tǐ）系（xì）规范向组织提出了（le）一系列认证的要求，在总则中提出组织应建立（lì）并保持一（yī）个（gè）文（wén）件化的信息（xī）安全管理（lǐ）体系（xì），阐述被保护（hù）的资产、组（zǔ）织风（fēng）险管理（lǐ）的渠道、控制目标及（jí）控制方式和需（xū）要（yào）的（de）保证等级；通过建立管理架构并加以实施（shī）来达到识别控制目标和控（kòng）制方式（shì），并（bìng）形成文（wén）件和记录（lù）。

BS7799-2：2002的控（kòng）制细则包括（kuò）10个方面： 　

· 安全方（fāng）针：为信息安全（quán）提供管理指导和支（zhī）持； 

· 组织安全：建立信（xìn）息安全架构（gòu），保证组织的内部管理（lǐ）；被第三方访问或外协时，保（bǎo）障组织的信（xìn）息安全； 

· 资产（chǎn）的（de）归类与控制：明确资产责任，保持（chí）对组织资产的（de）适当保（bǎo）护；将信息进行（háng）归类，确（què）保信息资（zī）产受到适当程度的保护； 

· 人员安全：在工作说明和资源（yuán）方面（miàn），减少因人为错（cuò）误、盗（dào）窃、欺（qī）诈和设施（shī）误用造成的风险；加（jiā）强用户培训，确保（bǎo）用（yòng）户清（qīng）楚知（zhī）道信（xìn）息安全的危险性（xìng）和相关事（shì）项，以便在他们的日常工（gōng）作中支持组织的安全方针；制定安（ān）全事故或故障（zhàng）的反应（yīng）程序，减少由（yóu）安全事故和故障（zhàng）造成的损失，监控安全事件并从（cóng）这（zhè）种事件（jiàn）中吸取教训； 

· 实（shí）物与（yǔ）环境安全：确定安全区（qū）域，防（fáng）止非（fēi）授权访问、破坏、干（gàn）扰（rǎo）商务场所和信息；通过保障设备安全，防止资（zī）产（chǎn）的丢失、破（pò）坏、资产危害及商务活动的中（zhōng）断；采用通用的控制方式，防止信息（xī）或（huò）信息处理设施（shī）损坏或失窃（qiè）； 

· 通信和（hé）操作方式（shì）管理（lǐ）：明确操作程序及其责任，确保信息处理（lǐ）设（shè）施的正确（què）、安（ān）全（quán）操作（zuò）；加强系统策（cè）划与（yǔ）验收，减少系统失效风险；防范（fàn）恶意软件以保持（chí）软件和（hé）信息的完整性（xìng）；加强（qiáng）内（nèi）务管理以保持信息处（chù）理和通讯服务的完（wán）整性和有效性通（tōng）过 ; 加强网络管理确（què）保网络中的（de）信息安全及其（qí）辅助（zhù）设施受到（dào）保护；通过保（bǎo）护媒体处理的安全 , 防止资产损坏和商务（wù）活（huó）动的中（zhōng）断（duàn）；加强信息和软件的交（jiāo）换的管（guǎn）理（lǐ），防止组织间在（zài）交（jiāo）换信（xìn）息时发生（shēng）丢失（shī）、更改和（hé）误用； 

· 访问控制：按照访问控制的商务要（yào）求（qiú），控制信息访（fǎng）问；加强用户（hù）访问（wèn）管理，防（fáng）止（zhǐ）非授权访问信息系（xì）统；明确（què）用户职责，防止非授权的用户访问；加强网络访问控制，保（bǎo）护网络（luò）服务程序；加强（qiáng）操作系统访问控制 , 防止（zhǐ）非（fēi）授权的计算机访问；加强应用访（fǎng）问控制（zhì），防止非授权访（fǎng）问系统中的（de）信（xìn）息；通过监控系（xì）统的（de）访问与（yǔ）使用，监（jiān）测非授权行为；在移动式计算（suàn）和电传工作方面 , 确保（bǎo）使（shǐ）用（yòng）移动式计算和电传工（gōng）作设施（shī）的信息安全（quán）； 

· 系统开发与维护：明（míng）确系统安全要求（qiú），确保（bǎo）安全性已构成信息系统的一部份；加（jiā）强应用系统的安（ān）全，防止应用系统用户数据的丢失、被修（xiū）改（gǎi）或误用；加强密码技（jì）术控制（zhì），保护（hù）信息（xī）的保密（mì）性（xìng）、可（kě）靠性或完整性；加强系统文（wén）件的安全，确保 IT 方案及其支持活动以（yǐ）安（ān）全的方式进行；加强（qiáng）开发和支持（chí）过程的安全（quán），确保应用系统软件（jiàn）和信息的（de）安全； 

· 商务连续（xù）性管理：防止商（shāng）务活动的中断及保（bǎo）护关键商务过（guò）程不受重大失误或灾难事（shì）故的影响； 

· 符合：符（fú）合法律法（fǎ）规要（yào）求，避免刑（xíng）法（fǎ）、民法、有关（guān）法令法规（guī）或合同约定事宜及其（qí）他安全要（yào）求的（de）规定（dìng）相（xiàng）抵触（chù）；加强（qiáng）安全方（fāng）针和技术符合性评审，确保体系按照组织的安全方（fāng）针及标准执行；系统审核考虑因素，使效果较大（dà）化 , 并使系统审核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信息安全认（rèn）证所需的各（gè）项措施的详细指导，具有很强（qiáng）的（de）可操（cāo）作性和指导（dǎo）性。

归根结底，信息（xī）安全工作的（de）目（mù）的就是在法律、法规、政策的支持与指（zhǐ）导下，通过采用合适的安全技术与安全（quán）管（guǎn）理措施，提供安全（quán）需求的保（bǎo）证，而 BS7799 信息安全认证标准正（zhèng）是总和了（le）这（zhè）些要求。组织可以根据自身特（tè）点，在（zài） ISO/IEC 17799 指（zhǐ）导（dǎo）下，实现信息安全的（de）要求。

 ISO27001：2005 《信（xìn）息安全管理（lǐ）体系要求（qiú）》

 ISO27001 ： 2005 《信息安全管理（lǐ）体系要求（qiú）》是关于信息安全管理的标准（zhǔn），是标准（zhǔn）不（bú）是（shì）方法，达到这些标准的要求并不（bú）难，重要的是用什么方法去实现。企业应将实施标准（zhǔn）作为改（gǎi）善（shàn）内（nèi）部管理的一次机会（huì），不应该将（jiāng）标（biāo）准（zhǔn）做为一种简单的模式对现有流程运作进行套用，应对现有（yǒu）的（de）组织运作流程进行详细分（fèn）析，有针对性（xìng）地设计并改善现有管理体系、改善薄弱环节、改善运作流（liú）程及内部沟通，并（bìng）有效地将（jiāng）先进（jìn）的管理思想融合到具（jù）体（tǐ）的实施程序中（zhōng），才能（néng）发挥（huī）标准的真正作用。

获得认证证书（shū）不是较终目的，建立有责（zé）、有（yǒu）序（xù）、有（yǒu）效的（de）信（xìn）息安全管理体系，提高（gāo）员工（gōng）的信息安全意识，不断获取并运用先进的管理方法和技（jì）术手段才能使企业（yè）的信息安全管理水平得（dé）以持（chí）续（xù）的发展和提升。