信息安全 (Information security): 是指信息的（de）保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用（yòng）性 (Availability) 的保（bǎo）持。

•  保密性：为保障（zhàng）信息仅仅为那些被（bèi）授权（quán）使用的人获（huò）取。

 信息的保密（mì）性是针对信息被允许访问（ Access ）对象的多少而（ér）不同，所有人员都可（kě）以访问的（de）信（xìn）息为（wéi）公（gōng）开（kāi）信（xìn）息，需要限制访（fǎng）问的信息一般为敏感（gǎn）信息或秘密，秘密可以根据信息的重（chóng）要（yào）性及保密要求分为不同（tóng）的（de）密级，例如国家根据秘密泄露对国家经（jīng）济、安全利（lì）益（yì）产生的影响（后果）不同，将国家秘密分为秘密（mì）、机密和绝密三个等级，组织可根据其信（xìn）息安全的实际，在符合《国家保密法》的前（qián）提（tí）下将其信息划分为不同的密级；对于具（jù）体的信（xìn）息的保密性有时效性，如秘密到期解密等。

 •  完整（zhěng）性：为保护信息及其处理方法的准确性（xìng）和完整性。

信息完整（zhěng）性一方面是指信息在（zài）利（lì）用、传输、贮（zhù）存等过程中不被篡改、丢失、缺损等，另（lìng）一方面是指信息处理的方（fāng）法的（de）正（zhèng）确（què）性（xìng）。不正（zhèng）当的操作，如误删（shān）除文（wén）件（jiàn），有可（kě）能造（zào）成重要（yào）文件的丢失。

 •  可用性：为保障授权使用人在（zài）需要（yào）时（shí）可以获取（qǔ）信息和使用（yòng）相（xiàng）关的（de）资（zī）产。

信息的可（kě）用（yòng）性是指信息及相（xiàng）关的信息资产在授（shòu）权人需要的（de）时候（hòu），可以立即获得。例如（rú）通信线路中断故障会造成信息（xī）的在一段（duàn）时间内不可（kě）用（yòng），影响正常的商业运作，这是信息可用性（xìng）的破坏。不（bú）同类型（xíng）的信息及相应资产的信息安全在保密性（xìng）、完整性（xìng）及可用性方面关注（zhù）点不同（tóng），如组（zǔ）织的专有技术、市场营销计（jì）划等商业（yè）秘密（mì）对组（zǔ）织来（lái）讲保（bǎo）守机（jī）密尤其（qí）重要；而（ér）对于工业自（zì）动控制系统，控制信息的完整（zhěng）性相对其（qí）保（bǎo）密性重要得多。

为什么需要信息安全（quán）？

信息、信息处理过程及对信（xìn）息起支持作用的信（xìn）息系统和信息网络都（dōu）是重（chóng）要的商（shāng）务资产。信息的保密性、完整性和（hé）可用（yòng）性对保持竞争优势、资金流动、效益、法（fǎ）律符合（hé）性和商业形象都是至关重要的。然而，越来越多的组织及其信息系统和（hé）网络面临着包括计算机诈骗、间谍、蓄意破（pò）坏、火灾、水（shuǐ）灾等（děng）大范围（wéi）的（de）安全威胁（xié），诸如计算机病毒、计算（suàn）机入（rù）侵、 Dos 攻击等手段造成（chéng）的（de）信息灾（zāi）难已变得更加普遍 , 有计（jì）划而不易被察觉（jiào）。组织对（duì）信息系统和信息服务的（de）依赖意味着更易受到（dào）安全威（wēi）胁的（de）破坏，公共和私人（rén）网络（luò）的（de）互连及信息资源的共（gòng）享增大了实现访问控制的难度。许多信息系统本身就不是（shì）按（àn）照安全系统的要求来设计（jì）的，所（suǒ）以仅（jǐn）依靠技术手段来实现（xiàn）信息安全有（yǒu）其局限性（xìng），所以（yǐ）信息安（ān）全（quán）的实现须得到管理和程序控制的适当支持。确（què）定应（yīng）采（cǎi）取哪些控制方式则需要周密（mì）计划，并注意细节。信息安全管理至少需要组织中的所有雇员（yuán）的参与，此外还（hái）需要供应商、顾（gù）客（kè）或股东的参与和信（xìn）息安全的专（zhuān）家建议。在信息系统设计阶段就（jiù）将安全要求和控制（zhì）一（yī）体化考虑，则成本会更（gèng）低、效率（lǜ）会更高。

 BS7799的信息管（guǎn）理过（guò）程：

①确定信息安（ān）全管理方针。

②确（què）定 ISMS( 信息安全（quán）管理体系) 的范围

③进行风险分析（xī）。

④选择控制目标（biāo）并进行控制。

⑤建立业务持续计划。

⑥建立并实（shí）施（shī）安全管理体（tǐ）系（xì）。

 建立信息安全管理体系的作用：

 任何组织，不（bú）论它（tā）在信（xìn）息技（jì）术方面如何（hé）努力（lì）以及采纳如何新（xīn）的信息安全技术，实际上在信息安全管理方面都还存在漏洞，例如：

· 缺少信（xìn）息安全管理（lǐ）论坛，安全（quán）导向不明确，管理支持不（bú）明显； 

· 缺少（shǎo）跨（kuà）部门的信息安全协调（diào）机制； 

· 保（bǎo）护特定资产以及完（wán）成（chéng）特定安全（quán）过程的职责还不（bú）明（míng）确； 

· 雇员信息（xī）安（ān）全意识薄弱，缺少防（fáng）范意（yì）识，外来人（rén）员很（hěn）容易直接进入生产和（hé）工作场所； 

· 组织信（xìn）息系统管理制度不够健全； 

· 组织信息（xī）系统（tǒng）主（zhǔ）机房安（ān）全存在隐患，如（rú）：防火设施存（cún）在问题，与危险品仓库同处一幢办公楼等； 

· 组织信息系统备份设备仍有欠缺（quē）； 

· 组织（zhī）信息系统安全防范技术投入欠缺； 

· 软（ruǎn）件知识产权（quán）保（bǎo）护欠（qiàn）缺； 

· 计（jì）算机房、办公场所（suǒ）等物理防范措施欠（qiàn）缺； 

· 档案、记录等缺少可靠贮存场所； 

· 缺（quē）少一旦发生意（yì）外时的保证生产经营连续性（xìng）的措（cuò）施和（hé）计划； 

        ……等等。

为（wéi）什么要建立和实施ISO27001信息安全管理体系认（rèn）证（2）

其实，组织可以参照信（xìn）息安全（quán）管理（lǐ）模型，按照先进的信息安全管理标准 BS7799 标准建（jiàn）立组（zǔ）织（zhī）完整的信息（xī）安（ān）全管理体系并实施（shī）与保持，达到动态的、系统的（de）、全员参与、制度化的（de）、以预防为主的信息安全（quán）管（guǎn）理方（fāng）式，用较（jiào）低（dī）的（de）成本（běn），达到可（kě）接受的信息安全（quán）水平，就可以从（cóng）根（gēn）本上保（bǎo）证业（yè）务的连续性。组（zǔ）织（zhī）建立、实施与保持信息安全管（guǎn）理体系将会（huì）产生如（rú）下作（zuò）用：

· 强化员（yuán）工的信息安全意（yì）识，规范组织信息安全行为； 

· 对（duì）组织的关键信（xìn）息（xī）资产（chǎn）进行全面系统的保（bǎo）护，维持竞（jìng）争优势； 

· 在信息（xī）系统受到侵袭时，确保业务持续开展并（bìng）将损失降（jiàng）到（dào）较低程度； 

· 使组织的生意伙伴（bàn）和客户对组织充满信心； 

· 如（rú）果通过体系认证（zhèng），表明体系（xì）符（fú）合（hé）标（biāo）准，证明组织有（yǒu）能力（lì）保障重要（yào）信息（xī），提高组织的名（míng）度与信任度； 

· 促（cù）使（shǐ）管（guǎn）理层坚持贯彻信息安全保障体系。 

BS7799标准概述：

· 1995 年，英国（guó）贸工部（bù）根据英国（guó）国内企业对信息安全日益（yì）高涨的（de）呼声，组织大企业的信息安全（quán）经（jīng）理们（men），制定了世界上第一个信息安全管理体系标准 BS7799-1 ： 1995 《信息安（ān）全管理（lǐ）实施规则》，作为工商业和大、中（zhōng）、小型组织（zhī）实施信（xìn）息安全管理（lǐ）的指南。由（yóu）于该标（biāo）准采用建议和指（zhǐ）导方式编写，因而不宜作为认证标准使用。 

· 1998 年，为了适应第（dì）三方认证的需要，英国又制定了第一个信息安全管理体系认（rèn）证标准 --BS7799-2 ： 1998 《信息（xī）安（ān）全管（guǎn）理体系规（guī）范》，作为对（duì）一个组织的全部或部分信息安全管理体系进行评审认证（zhèng）的（de）依据标准。 

· 1999 年，鉴于计算机（jī）和信息处理技术，尤其是网（wǎng）络和通信领域应用的（de）迅速发展，英国又对信息安全管（guǎn）理体系（xì）标准进（jìn）行了修订（dìng）。修订后的 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 分别（bié）取（qǔ）代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订（dìng）的 1999 版标准进一步强（qiáng）调了组织在商务工作中所涉及的信（xìn）息安全（quán）和信息安（ān）全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套（tào）标准， BS7799-1 ： 1999 为如何（hé）建立和（hé）实（shí）施符合 BS7799-2 ： 1999 标准要求的信息安全管理体系提供了较（jiào）佳的应用建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正（zhèng）式采（cǎi）纳成（chéng）为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息技（jì）术—信息安全（quán）管理实施规则》，另外（wài）， BS7799-2 ： 1999 也即将于 2002 年（nián）底被 ISO/IEC 作为蓝本修订后成（chéng）为可用于认证的 ISO/IEC 的（de）《信息（xī）安全管理（lǐ）体系规范》。 

信（xìn）息安（ān）全认证是实现信息安（ān）全目标的（de）较佳途（tú）径：

BS7799-2：2002信息（xī）安全管（guǎn）理体系规范向（xiàng）组（zǔ）织提出（chū）了一系列认证的要求（qiú），在总则（zé）中提出组织应建立并保持一个文件化的信息安全管理体系，阐述被保（bǎo）护的资产、组织风险管理的（de）渠道（dào）、控制目（mù）标及控制（zhì）方式（shì）和需要（yào）的保证等级；通过建立管（guǎn）理架构并加以（yǐ）实施来达到（dào）识别控制目标和控制方（fāng）式，并形（xíng）成文件和记录。

BS7799-2：2002的控制细则包括（kuò）10个方面： 　

· 安（ān）全方针：为信息安全提供（gòng）管（guǎn）理指（zhǐ）导（dǎo）和支持； 

· 组（zǔ）织安全：建立信息安（ān）全架构，保（bǎo）证组织的（de）内部管（guǎn）理；被第三方访问或外协时（shí），保障（zhàng）组（zǔ）织的信息安全； 

· 资产的归类（lèi）与控制：明确资产责任，保持对组织资产（chǎn）的（de）适当保护；将信息进行归类，确保（bǎo）信（xìn）息资（zī）产受到适当程度的保（bǎo）护； 

· 人员安全：在工（gōng）作说明和资源方面，减（jiǎn）少（shǎo）因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚（chǔ）知道信息安全的危险性和相关（guān）事项，以便在他们的（de）日常工作中支持组织的安全方针；制（zhì）定（dìng）安全事（shì）故或（huò）故障的反应程序，减少由安全事故和故障造（zào）成的损（sǔn）失，监控安（ān）全事件并从这种事件中吸取教训； 

· 实物与环境安全：确（què）定（dìng）安全区域，防（fáng）止非授权（quán）访问、破（pò）坏、干（gàn）扰（rǎo）商务场所和（hé）信息；通过（guò）保（bǎo）障设备安全，防止（zhǐ）资产（chǎn）的丢失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理（lǐ）设施损坏（huài）或失窃； 

· 通（tōng）信（xìn）和操作方式管理：明确操作程序及其责任，确保信息处理设施（shī）的正确、安全操作；加强系统策划与验收，减少系统失效风险；防（fáng）范恶（è）意软（ruǎn）件（jiàn）以（yǐ）保（bǎo）持软件和信息的（de）完整性（xìng）；加（jiā）强内务（wù）管理以保（bǎo）持信息处理和通讯服务的完整性和有（yǒu）效性通过 ; 加强网络（luò）管理确保网络中的信（xìn）息安全及其辅助（zhù）设施受（shòu）到（dào）保护（hù）；通过保护媒体（tǐ）处理的安全 , 防（fáng）止资产（chǎn）损坏和商务活动（dòng）的中断；加强信息和软（ruǎn）件的交换的管理（lǐ），防止组织（zhī）间在交换（huàn）信息时发生（shēng）丢失、更改和误用； 

· 访（fǎng）问控制：按照访问控（kòng）制的商务要（yào）求，控制信息访问（wèn）；加强（qiáng）用户访问管理，防止（zhǐ）非授权访问（wèn）信息系统；明确用（yòng）户职责，防止（zhǐ）非授权的（de）用户访（fǎng）问（wèn）；加强网络访问控制（zhì），保护（hù）网络服务（wù）程序；加强操作系统访（fǎng）问控制 , 防止非授权（quán）的计算机（jī）访（fǎng）问；加强应用访问控制（zhì），防止非（fēi）授（shòu）权访问（wèn）系统中的信（xìn）息；通过监控（kòng）系统的访问与（yǔ）使用，监测非授权行为；在（zài）移动式计算和电传工作方面 , 确保（bǎo）使（shǐ）用移（yí）动式计算和电传工作设施的信息安（ān）全； 

· 系统开发与（yǔ）维护：明确（què）系（xì）统安全（quán）要求，确保安全性已构成信息系统的一部份（fèn）；加强应用系统（tǒng）的安全，防止（zhǐ）应用系统（tǒng）用户数据的丢失、被修（xiū）改或误用；加强密（mì）码技（jì）术控（kòng）制（zhì），保护信息（xī）的保密性（xìng）、可（kě）靠性或完整性；加强系（xì）统（tǒng）文件的安全，确保（bǎo） IT 方案及其支持活动以（yǐ）安全的方式进行（háng）；加强开发和支持过程的安全（quán），确保（bǎo）应用系统软件和信（xìn）息的安全； 

· 商务连续性管理：防止商务活动的中断及保（bǎo）护关（guān）键商务（wù）过程不受（shòu）重大失误或灾难事故的影响； 

· 符合：符合法律（lǜ）法规要求，避免刑法、民法、有关法令（lìng）法规或合同约定事宜及（jí）其他（tā）安（ān）全（quán）要求（qiú）的规定相抵触；加强安全（quán）方针和技术符合性（xìng）评审（shěn），确保体系按照组织（zhī）的安全方针及标（biāo）准执（zhí）行（háng）；系（xì）统审核考（kǎo）虑因素，使效果较大化 , 并使（shǐ）系统审核过程的影（yǐng）响较小化。 　 

在（zài）国际（jì）标（biāo）准 ISO/IEC17799 给出了为实（shí）现信息（xī）安全认证（zhèng）所需的各项措（cuò）施的详细指导，具有很强的（de）可操作性和指导性。

归根结底，信息（xī）安全工作的目的就是在法律、法规、政策的支持（chí）与指导下（xià），通（tōng）过采（cǎi）用（yòng）合（hé）适的安全技术（shù）与安全管理措施，提（tí）供安全需求的（de）保证，而 BS7799 信（xìn）息安全认（rèn）证标准（zhǔn）正是总和了这（zhè）些要求（qiú）。组织可以根据（jù）自身特点，在 ISO/IEC 17799 指导下（xià），实现信息安全的要求。

 ISO27001：2005 《信（xìn）息安全管理（lǐ）体（tǐ）系（xì）要求》

 ISO27001 ： 2005 《信息安全（quán）管理（lǐ）体系要求》是关于信息安全（quán）管理的标准，是（shì）标（biāo）准不是方法，达（dá）到（dào）这些标准（zhǔn）的（de）要求（qiú）并不难，重（chóng）要的是用什（shí）么方法（fǎ）去实现（xiàn）。企业应将实施标准作为改善内（nèi）部（bù）管理的一次机会，不应该（gāi）将标准做（zuò）为一种简单的模（mó）式对现有流程运作进行套用，应对现有（yǒu）的组（zǔ）织运作流程进行详细（xì）分析，有针（zhēn）对性地设计（jì）并改善现（xiàn）有管理体系、改善薄弱环节、改善运作流程及内部沟通，并有效地（dì）将（jiāng）先进（jìn）的管理思想融（róng）合到具体（tǐ）的实施程序中，才能发挥标准的真正作用。

获（huò）得认证证书不是较终目的，建（jiàn）立有责、有序（xù）、有（yǒu）效的信息安全管理体（tǐ）系，提高员工（gōng）的信息（xī）安全意识，不断（duàn）获取并运用先进（jìn）的管理方法和技术手段才能使企（qǐ）业的信息安全管理水平（píng）得以持续的发（fā）展和提升。