信（xìn）息安全（quán） (Information security): 是指信息的保密性（xìng） (Confidentiality) 、完（wán）整性 (Integrity) 和（hé）可用（yòng）性（xìng） (Availability) 的保持。

•  保密性：为保障信息仅（jǐn）仅为那些被（bèi）授权使用的人获取（qǔ）。

 信息（xī）的保密性是（shì）针对（duì）信息（xī）被允许访问（ Access ）对象的多（duō）少而不同，所有人员都可以（yǐ）访问的信息（xī）为公开信息，需要限制访问的信息一般为敏（mǐn）感（gǎn）信息或秘密（mì），秘密可以根据信息的重要性及（jí）保密要求分（fèn）为不同的密级，例如国家根据秘密泄露对国家经济（jì）、安全（quán）利益（yì）产生的影响（xiǎng）（后（hòu）果（guǒ））不同（tóng），将（jiāng）国家秘（mì）密分为秘（mì）密、机密和绝密三个等（děng）级，组（zǔ）织可根（gēn）据其信息安全的实（shí）际（jì），在符（fú）合《国家保密法》的前（qián）提下将其信息（xī）划分为不同（tóng）的密级；对于具（jù）体的信息的保密性有时（shí）效性，如秘密（mì）到（dào）期解密等（děng）。

 •  完整性：为保护信息及其处（chù）理（lǐ）方法的准确性和完整性。

信息（xī）完（wán）整（zhěng）性（xìng）一方面是指信息在利用、传输、贮存（cún）等过程中不被（bèi）篡改、丢失、缺损等（děng），另一方面是指信息处（chù）理（lǐ）的方法的正确性。不正当的操作，如（rú）误删除文件，有可能造成重要文件的丢失。

 •  可用性：为保障授（shòu）权（quán）使用人在需要时可以获取信息和使用（yòng）相（xiàng）关的资产。

信（xìn）息的可用性是指信息及（jí）相（xiàng）关的信息资（zī）产在授权（quán）人需要的时候（hòu），可（kě）以立即获得。例如通信线路中断（duàn）故障会造成信息的在一段时间内不可用，影响正常的商业运作，这是信息可用（yòng）性的（de）破坏。不同类型的信息及相应（yīng）资产的信息安全在（zài）保密性（xìng）、完整性及可用性方面关注（zhù）点不同（tóng），如（rú）组织的专有技术（shù）、市场营销计划等（děng）商（shāng）业秘密对组织来讲保（bǎo）守机密尤其（qí）重要；而（ér）对于工业（yè）自动控制系统（tǒng），控制信息的（de）完（wán）整性相对其保密性重（chóng）要得多。

为什么需要信（xìn）息安（ān）全？

信息、信息（xī）处理（lǐ）过程及对信（xìn）息起支持作用的信息系（xì）统和信息网络都是重（chóng）要的商（shāng）务资（zī）产。信（xìn）息（xī）的保（bǎo）密性、完整性和可用性对保持竞争优势、资金流（liú）动、效益、法律符（fú）合（hé）性和商（shāng）业形象都是至关重（chóng）要的。然而，越来越多的组织及其信息系（xì）统（tǒng）和网络面临着包括（kuò）计算机诈骗、间谍（dié）、蓄意破坏（huài）、火灾（zāi）、水灾等（děng）大范围（wéi）的安全威胁（xié），诸如计算机病毒、计算机入侵、 Dos 攻击等手段造成（chéng）的信（xìn）息灾难已变得更加普遍 , 有计划而（ér）不易被察觉。组织对信息（xī）系（xì）统和（hé）信息服务的（de）依赖意味着更易受到安全威胁的破（pò）坏，公共和私人（rén）网络的互连（lián）及（jí）信息资源的共（gòng）享增大（dà）了实现访问控（kòng）制的难度。许多信息（xī）系统本（běn）身就不是（shì）按照（zhào）安全系统的（de）要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信（xìn）息（xī）安全的（de）实（shí）现须得到管（guǎn）理和程序控（kòng）制的（de）适（shì）当支持。确定应采取哪些控制方式则（zé）需要周密计划，并注意细节。信息安（ān）全管理至（zhì）少需要组织中（zhōng）的所有（yǒu）雇员的参（cān）与，此外（wài）还需要供应商、顾客（kè）或股东的参与和信（xìn）息安全的专家建议。在信（xìn）息系统（tǒng）设计阶段就将安全要求和（hé）控制一（yī）体化考虑，则成（chéng）本会更低、效率会更高。

 BS7799的信息管理过程：

①确定信息安全管理方针。

②确定 ISMS( 信（xìn）息安全管理体系) 的范围

③进行风险分析。

④选择控制目标并进行控制。

⑤建（jiàn）立业务持续计划。

⑥建立并实施安全管理体系。

 建立（lì）信息安全管理体系的作（zuò）用：

 任（rèn）何组织（zhī），不论它在（zài）信息技术方面如何努力（lì）以（yǐ）及采纳如何新的信息（xī）安全（quán）技术，实际上在信息安全管理方面都（dōu）还（hái）存在漏洞，例如：

· 缺少信息安全管（guǎn）理论坛，安全导向不明确，管理支持不明显； 

· 缺少跨部门的信息安全协（xié）调（diào）机制； 

· 保护特（tè）定资产以及完成特定安全过程的职责还不明确； 

· 雇员信息安（ān）全意（yì）识薄弱（ruò），缺少防范意识（shí），外来人（rén）员很容易直（zhí）接进入生产（chǎn）和工作场（chǎng）所； 

· 组织信息系统管理（lǐ）制度不够（gòu）健（jiàn）全； 

· 组（zǔ）织信息系统主机房安全存在（zài）隐患，如：防火设施存在问题（tí），与危险品仓库（kù）同处一幢办（bàn）公楼等； 

· 组织信息系（xì）统备份（fèn）设备仍有欠（qiàn）缺； 

· 组织信息系统安全防（fáng）范技（jì）术（shù）投入欠缺； 

· 软件（jiàn）知（zhī）识产权保护欠缺（quē）； 

· 计算机房、办公场所等物理防范措施欠缺； 

· 档案（àn）、记录等缺（quē）少（shǎo）可靠贮存场所； 

· 缺少一旦（dàn）发生意外（wài）时（shí）的保证生产经营连（lián）续（xù）性的措施和计划（huá）； 

        ……等等。

为（wéi）什么要建立和实施ISO27001信息安全管理体系认证（2）

其实，组（zǔ）织可以参照信息（xī）安（ān）全管理模型，按照先进的信息安（ān）全管理标准 BS7799 标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度（dù）化（huà）的、以预防为主的信息安全管理（lǐ）方式，用（yòng）较低（dī）的成本，达到可（kě）接受的信（xìn）息安（ān）全水平（píng），就可以从根（gēn）本（běn）上保证（zhèng）业务的（de）连续（xù）性（xìng）。组织（zhī）建立（lì）、实施与保持信（xìn）息安全管理体系将会产生如下作（zuò）用：

· 强化（huà）员工的（de）信息安全意（yì）识，规（guī）范组织信息安全（quán）行为； 

· 对组织的关键信息资产进行全面系统（tǒng）的保护，维持竞争优（yōu）势； 

· 在信息系统（tǒng）受到侵（qīn）袭时，确保业务（wù）持续开（kāi）展并将损失降到较（jiào）低程度； 

· 使（shǐ）组（zǔ）织的生意伙伴和（hé）客户对组（zǔ）织（zhī）充满信心； 

· 如（rú）果通（tōng）过体系（xì）认证，表明体系符合标准，证明组织有（yǒu）能（néng）力保障重要（yào）信息，提高组（zǔ）织的名度与信（xìn）任（rèn）度； 

· 促（cù）使（shǐ）管（guǎn）理层坚（jiān）持贯（guàn）彻信息安全保障体系。 

BS7799标准（zhǔn）概述：

· 1995 年，英国贸工部根据英国国内企业对信息安全日益高涨的呼声，组织大企业的信息安全经理们，制（zhì）定了世界上第一个信息安（ān）全（quán）管理体系标（biāo）准 BS7799-1 ： 1995 《信息安全（quán）管（guǎn）理实施规则（zé）》，作（zuò）为工商业和大（dà）、中、小型组织实施信息安全管理（lǐ）的指南。由于该标准采用建议和指导方式编写，因而不宜作为（wéi）认（rèn）证标准使用。 

· 1998 年，为了适应第三方（fāng）认（rèn）证的需要，英国又制定了第一个信息安全（quán）管理体系（xì）认证标准 --BS7799-2 ： 1998 《信（xìn）息安（ān）全管理体（tǐ）系规范》，作为对一个组织的全（quán）部或（huò）部分信息安全管理（lǐ）体（tǐ）系进行评（píng）审认证（zhèng）的（de）依（yī）据标准。 

· 1999 年，鉴于计算机和信息处理技（jì）术，尤其是网络和通信领（lǐng）域应（yīng）用的迅速发（fā）展，英国（guó）又对（duì）信息安全管理体（tǐ）系标准进行了修（xiū）订。修（xiū）订后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版（bǎn）标准进（jìn）一步强调了组织在商务工作中所涉及的（de）信息（xī）安全和信息安全（quán）责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标（biāo）准， BS7799-1 ： 1999 为如何建立和实施符合 BS7799-2 ： 1999 标（biāo）准要（yào）求的（de）信息安全管理体系（xì）提供了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正（zhèng）式采纳成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管（guǎn）理（lǐ）实施规则（zé）》，另（lìng）外， BS7799-2 ： 1999 也（yě）即将于 2002 年底被 ISO/IEC 作为（wéi）蓝本（běn）修订后（hòu）成为可用（yòng）于认证的 ISO/IEC 的（de）《信息安全管理体系规范》。 

信息安全认证是实现信息安全目标的（de）较佳途径：

BS7799-2：2002信（xìn）息安全管（guǎn）理（lǐ）体系规范向（xiàng）组织（zhī）提出了一系列认证的要求，在总（zǒng）则中提出组织应建立并保（bǎo）持一个文（wén）件化的信息安全管理体系，阐述被（bèi）保护的资产、组织风险管理（lǐ）的渠道、控制目标及控制方式（shì）和需要的保证等级；通过建立管理架构并加以实施来达到识别控制目标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则包括（kuò）10个（gè）方面： 　

· 安全方针（zhēn）：为信（xìn）息安全提供管理指导和支（zhī）持； 

· 组织安全：建立信息安（ān）全架构（gòu），保证（zhèng）组（zǔ）织（zhī）的内部（bù）管理；被（bèi）第三方访问或外协（xié）时（shí），保障组织（zhī）的信（xìn）息安全； 

· 资产的归类与（yǔ）控制：明（míng）确资产责任，保持（chí）对（duì）组织资产的适当保护；将信息进行归类，确保（bǎo）信（xìn）息资产受到适当程度的保护（hù）； 

· 人员安全：在工作说明和资源（yuán）方（fāng）面，减少因人为（wéi）错误（wù）、盗（dào）窃、欺诈和（hé）设施误用（yòng）造成的风险；加强用户培训，确（què）保（bǎo）用（yòng）户清楚知道信息安全的危（wēi）险性（xìng）和相关事项，以（yǐ）便在他们的（de）日常工作中支持组织的（de）安全方针；制（zhì）定安全事故或（huò）故障的反应程序，减（jiǎn）少由（yóu）安全事故（gù）和故障造成的损失，监（jiān）控安全事（shì）件并从这种事件（jiàn）中吸（xī）取教训； 

· 实物与环境安全：确（què）定安全区（qū）域，防（fáng）止非授权访问、破坏、干扰（rǎo）商（shāng）务（wù）场所和信息；通过（guò）保（bǎo）障设备安全（quán），防止资产的丢（diū）失、破坏、资产危害（hài）及商（shāng）务活动的中断；采（cǎi）用通用（yòng）的控制方式，防（fáng）止（zhǐ）信（xìn）息或信息处（chù）理（lǐ）设（shè）施损坏或失窃； 

· 通（tōng）信和操作（zuò）方（fāng）式管（guǎn）理：明确操作（zuò）程序及其责任，确保信息处（chù）理设施的正确、安全操作；加强（qiáng）系统策划（huá）与验收，减少系（xì）统失效风险；防范恶意软件（jiàn）以保持软件和信息的（de）完整（zhěng）性；加强内务管理以保持（chí）信息处理（lǐ）和通（tōng）讯服务的完（wán）整性和有效性通过 ; 加强网络管（guǎn）理确保网络中的信息安全（quán）及其辅助设施受（shòu）到保护；通过保护（hù）媒（méi）体处理的安全 , 防止资产损坏和商务活动的中断；加强信息和（hé）软件的交换的管理，防止组织间在交（jiāo）换信（xìn）息时发生（shēng）丢失、更（gèng）改和误（wù）用； 

· 访（fǎng）问控制：按（àn）照访问控（kòng）制的商务要求，控制信息（xī）访（fǎng）问；加（jiā）强用户访问管理，防（fáng）止非授（shòu）权访（fǎng）问信息系统；明确用户职（zhí）责，防止非（fēi）授权的用户访（fǎng）问；加强网（wǎng）络访问控制，保（bǎo）护网络服务程序；加强操作系统访问控制 , 防（fáng）止非授权的（de）计算机访问；加强应（yīng）用（yòng）访问（wèn）控制，防止非（fēi）授（shòu）权访问系（xì）统中（zhōng）的信息；通过监控系统的访问与使用（yòng），监测非授权行为；在移动（dòng）式计算和（hé）电传工（gōng）作方面 , 确保使用（yòng）移（yí）动式（shì）计算和电（diàn）传工作设施的（de）信息安全； 

· 系统开发与维护（hù）：明确（què）系（xì）统安全要求（qiú），确保安全性已（yǐ）构成信息系统的一（yī）部份；加强应用（yòng）系统的安全，防止应（yīng）用系统（tǒng）用户（hù）数（shù）据的丢（diū）失、被（bèi）修（xiū）改或误用；加强密码技术控制，保护信息（xī）的保密性、可靠性或完整性；加强系统（tǒng）文件（jiàn）的安全，确保 IT 方（fāng）案（àn）及其支持活（huó）动以安（ān）全的方式（shì）进（jìn）行；加强开发和支持过程（chéng）的安全，确保应用系统软件和信息的安全（quán）； 

· 商务连续性（xìng）管理：防（fáng）止商务活（huó）动的中断及保护关键商务过程（chéng）不受重大（dà）失（shī）误或（huò）灾难事故（gù）的影响； 

· 符（fú）合：符（fú）合法（fǎ）律法规要求，避免刑（xíng）法、民法、有关法令（lìng）法规或合同约（yuē）定事宜及其他安全要（yào）求的规（guī）定相抵（dǐ）触；加强安（ān）全方针（zhēn）和（hé）技术符合性评（píng）审，确保体（tǐ）系按照组织的安全方针及标准执行（háng）；系（xì）统（tǒng）审（shěn）核考虑因素，使效果较大化 , 并（bìng）使系统审核（hé）过程的影响较小化。 　 

在（zài）国（guó）际标准 ISO/IEC17799 给出了为（wéi）实现信息安（ān）全（quán）认证所需的各项措施的详细指导，具有很强的可（kě）操作性和指（zhǐ）导性。

归根结底，信息安全工作的目（mù）的就（jiù）是在法律、法规、政（zhèng）策（cè）的支（zhī）持（chí）与指导下，通过采用（yòng）合（hé）适（shì）的安全技术与安全管理措施，提供安全需求的保（bǎo）证（zhèng），而 BS7799 信息安全认证标准正（zhèng）是总和了这些要求。组（zǔ）织（zhī）可以根据自身特点（diǎn），在 ISO/IEC 17799 指导（dǎo）下（xià），实现信息安全的要求。

 ISO27001：2005 《信（xìn）息安全管理体系要（yào）求（qiú）》

 ISO27001 ： 2005 《信息安全管理体系要求（qiú）》是关于信息安全（quán）管理的标准，是标准不是方法（fǎ），达到（dào）这些标准的（de）要求并不（bú）难，重要（yào）的（de）是用什么方法去实现。企业应将实施标准作为改（gǎi）善内部管（guǎn）理的一次机（jī）会，不（bú）应该将标准做为一种简单的模式对现有（yǒu）流程运作进（jìn）行套用，应对现有的组织运作流程进行详细分（fèn）析，有针（zhēn）对性（xìng）地设（shè）计并改善现（xiàn）有管理（lǐ）体系、改善薄弱（ruò）环（huán）节、改（gǎi）善（shàn）运（yùn）作流程及内部沟通，并有效地将先进（jìn）的管理思想融合（hé）到（dào）具（jù）体的实施程序中，才能发挥标准的真（zhēn）正（zhèng）作用。

获得认证证书不是较终目（mù）的，建（jiàn）立有责、有序、有效的（de）信（xìn）息（xī）安全管理（lǐ）体系，提高员（yuán）工的信息安全意识（shí），不断获取并运（yùn）用先进的管理方法和技（jì）术手段才（cái）能使企业的信息（xī）安全管理水（shuǐ）平得（dé）以持续的发展（zhǎn）和提升（shēng）。