信息安全 (Information security): 是指信（xìn）息的保密性（xìng） (Confidentiality) 、完（wán）整（zhěng）性 (Integrity) 和可（kě）用（yòng）性 (Availability) 的保持。

•  保密性：为保障（zhàng）信息仅仅为那些被授权使用的（de）人获取。

 信息的保密性是针对信息被允许访问（ Access ）对象的多少（shǎo）而不同，所有人（rén）员都可以访（fǎng）问的信息为公（gōng）开（kāi）信息，需要（yào）限制访（fǎng）问的（de）信息一般为（wéi）敏感（gǎn）信（xìn）息或秘密，秘密可以（yǐ）根据信息的（de）重要性及保密要求分为不同的密（mì）级（jí），例如国家根（gēn）据秘密（mì）泄（xiè）露对国家（jiā）经济、安全利益产（chǎn）生的影响（后果（guǒ））不同（tóng），将国家秘密分为秘密（mì）、机密和绝密三个等级（jí），组织可根据其信息安（ān）全（quán）的实（shí）际，在符合《国家保密法》的前提下将其信息（xī）划分为不同的密级；对于具（jù）体的信息的（de）保密性有时效（xiào）性，如秘密（mì）到期解密等。

 •  完整（zhěng）性：为（wéi）保护信息及其处理方法的准确性和完（wán）整性。

信息完（wán）整性一（yī）方（fāng）面是指信（xìn）息在利用、传输、贮存等（děng）过程中不被篡改、丢失（shī）、缺损等，另一（yī）方面（miàn）是指（zhǐ）信息处理的方法的正确性。不正当（dāng）的（de）操作（zuò），如（rú）误删除文件，有可（kě）能造成（chéng）重要（yào）文（wén）件（jiàn）的丢失（shī）。

 •  可用性：为（wéi）保障（zhàng）授权（quán）使用（yòng）人（rén）在需要时可（kě）以获取信息和使用（yòng）相关的资产。

信息的（de）可用性是指（zhǐ）信息及相关的信息资产在授权人需要的时候，可以立即获得（dé）。例如通信线路（lù）中断（duàn）故障会造成信息的在一段时间（jiān）内（nèi）不可用，影响正常的商业运（yùn）作（zuò），这是（shì）信息可用性的破坏。不同类型（xíng）的信息及（jí）相应资产的信息安全在保（bǎo）密性、完（wán）整（zhěng）性及可用性方面（miàn）关注点不同，如组织的专有（yǒu）技术、市（shì）场营销计划（huá）等商业秘密对组织（zhī）来讲保守机密尤其重（chóng）要；而对于工业（yè）自动控制系统，控制（zhì）信息的完整性相对其（qí）保密性重要得多。

为什么需要信息安（ān）全？

信息、信息处理（lǐ）过程及对信息起支（zhī）持作用的（de）信息（xī）系统（tǒng）和（hé）信息网（wǎng）络都（dōu）是重要的（de）商务资产。信息的（de）保密性、完整性和可用性对保持（chí）竞争优势（shì）、资金流动（dòng）、效益、法律（lǜ）符合性和（hé）商业（yè）形象都是至（zhì）关重要的。然（rán）而，越来越多的组织及其信息系（xì）统和网络（luò）面临着包括计算机诈骗、间谍（dié）、蓄意破坏、火灾、水灾等（děng）大范围的（de）安全威胁，诸（zhū）如计算（suàn）机（jī）病毒、计算机（jī）入侵、 Dos 攻击等手（shǒu）段造成的信息灾难已（yǐ）变得更加普遍 , 有计划而不易被察（chá）觉。组织（zhī）对信息系统和信息服（fú）务的依赖意味着更易（yì）受到安全（quán）威胁（xié）的破坏，公共和私人网（wǎng）络的互连及信息资源的共享增大了实（shí）现访问控制的难度。许多信（xìn）息系统（tǒng）本身就（jiù）不是按照安（ān）全系统的要求来（lái）设计的，所以仅依靠技术手（shǒu）段来实（shí）现信息安（ān）全有其局限（xiàn）性，所以信息安全（quán）的实现（xiàn）须得（dé）到管理和程序控制的适当支持。确定（dìng）应采取哪些控制方式则需要周（zhōu）密计划，并注意细节。信息安（ān）全（quán）管理（lǐ）至少需（xū）要组（zǔ）织中的（de）所有雇员（yuán）的参与，此外还（hái）需要（yào）供应商、顾客或股东的参与和信（xìn）息安全的专家建议（yì）。在（zài）信息（xī）系统设（shè）计（jì）阶段就（jiù）将安全要求和控制（zhì）一体化考虑，则（zé）成本会更（gèng）低、效率（lǜ）会更高。

 BS7799的信息管理过程：

①确定信息安全（quán）管理方针。

②确定 ISMS( 信息安全管理体（tǐ）系) 的范围（wéi）

③进（jìn）行风（fēng）险（xiǎn）分析。

④选择控制目标并进（jìn）行控制。

⑤建（jiàn）立业务持（chí）续计划。

⑥建立并实施安全管理（lǐ）体系。

 建立信息安全管理（lǐ）体系的（de）作（zuò）用（yòng）：

 任何组织，不（bú）论它在信息（xī）技术方面如（rú）何努（nǔ）力以及采纳（nà）如（rú）何新的信息安（ān）全技术，实际上在信息安（ān）全管理方面都还存在漏洞，例如：

· 缺少信息（xī）安全管理论坛，安全导向不（bú）明确，管理支持不明显； 

· 缺少跨部门（mén）的信息安全协调（diào）机（jī）制； 

· 保护特定资产以及完成特（tè）定安全过程（chéng）的职责还不明确； 

· 雇员信息安全（quán）意识（shí）薄弱（ruò），缺少防范（fàn）意识（shí），外来人员很容易直接进入生产（chǎn）和工作场所； 

· 组织信息系（xì）统管（guǎn）理制度不够健全； 

· 组织信息系统主机房安全（quán）存在隐患，如：防火设施存在（zài）问题（tí），与（yǔ）危险品仓（cāng）库同处一（yī）幢办公楼等； 

· 组织信息系（xì）统备份（fèn）设备仍有（yǒu）欠缺； 

· 组织信息系统安全（quán）防范（fàn）技术投入欠缺； 

· 软件知识产（chǎn）权保护欠缺； 

· 计算（suàn）机房、办公场所等物理防范（fàn）措施欠缺； 

· 档（dàng）案、记录等缺少可靠贮存场（chǎng）所； 

· 缺少一旦发生意外（wài）时的（de）保证生产（chǎn）经营连续性的（de）措施和计划（huá）； 

        ……等等（děng）。

为什么要建立和实施（shī）ISO27001信息（xī）安（ān）全管理体系认（rèn）证（2）

其（qí）实，组织可（kě）以参照信息安全管理（lǐ）模型，按（àn）照先进的信（xìn）息安全管理标准 BS7799 标准建立组织完整的信息安全管理体（tǐ）系并实施与保（bǎo）持，达到（dào）动（dòng）态的、系统（tǒng）的、全员参与、制度（dù）化的（de）、以预（yù）防为（wéi）主的信息安全管理方（fāng）式，用较低的成本，达到可接受的信息安全水平（píng），就可以从根本（běn）上保（bǎo）证业务的连续性（xìng）。组织建立（lì）、实施与保持信（xìn）息安全管（guǎn）理体系将会产生（shēng）如下作用：

· 强化员工的信息安全意识，规范组织（zhī）信（xìn）息（xī）安（ān）全行为； 

· 对组织的关（guān）键信（xìn）息资产进（jìn）行全面（miàn）系统的保护（hù），维持竞争优势； 

· 在信（xìn）息系统（tǒng）受到侵（qīn）袭（xí）时，确保业务（wù）持续开展并将损失降到较低程度； 

· 使组织的（de）生（shēng）意伙伴和客户对组（zǔ）织充满信（xìn）心； 

· 如果通过体系认（rèn）证，表明（míng）体系符合标准，证明组织有能力保（bǎo）障重要信息，提高组织的名度与（yǔ）信任度； 

· 促（cù）使管理层（céng）坚持贯彻（chè）信息安（ān）全（quán）保障体系。 

BS7799标准概述：

· 1995 年（nián），英国（guó）贸工（gōng）部根据英国国内企业对信息（xī）安全日益高（gāo）涨的（de）呼声，组（zǔ）织大企业的信息（xī）安全经理们，制定了（le）世界（jiè）上（shàng）第一个信息安全管理体系标准 BS7799-1 ： 1995 《信息安全管理（lǐ）实施（shī）规则》，作为工商业和大、中、小型组（zǔ）织实施信（xìn）息安全管理的指南。由于该（gāi）标准采用建议和指导方式（shì）编写，因而不宜作为（wéi）认证标准使用（yòng）。 

· 1998 年（nián），为（wéi）了适应第三方认证的需要，英国又制定了第（dì）一个（gè）信息安全（quán）管理体（tǐ）系认证标准 --BS7799-2 ： 1998 《信息安全管（guǎn）理体系规范》，作为（wéi）对一个（gè）组织的全部或部分信息安全（quán）管理体系进行评审认证的依据标准。 

· 1999 年，鉴于计算机和信息处理技术，尤其是网络和通信（xìn）领（lǐng）域应用的迅速发展，英（yīng）国又对信息安全（quán）管理（lǐ）体系标准进（jìn）行了修订。修订后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版（bǎn）标准进一步强调了组织在商务工作（zuò）中所涉及的信息（xī）安（ān）全和（hé）信息（xī）安（ān）全责（zé）任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配（pèi）套标准（zhǔn）， BS7799-1 ： 1999 为如（rú）何建立和实施符合 BS7799-2 ： 1999 标准要（yào）求的信息安（ān）全管理（lǐ）体系提供（gòng）了较佳的应用（yòng）建议。 

· 2000 年 12 月（yuè）， BS7799-1 ： 1999 已经（jīng）被 ISO/IEC 正（zhèng）式采纳成（chéng）为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术—信（xìn）息（xī）安全管理（lǐ）实施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年（nián）底被 ISO/IEC 作为（wéi）蓝本修订后成为可用于认证的 ISO/IEC 的《信息安（ān）全管理体系规范》。 

信息安全认证是实现（xiàn）信（xìn）息安（ān）全目标的较佳途径：

BS7799-2：2002信息安全管理（lǐ）体系规范向（xiàng）组织（zhī）提出了一系列认（rèn）证的（de）要求，在总则中提（tí）出组织（zhī）应建立并保持一个文件化的信息安全管理体系，阐述被保护的资产（chǎn）、组织风险管理的渠道、控制目标及控制方式和需要的保（bǎo）证等级；通过建立（lì）管理架构并加以实施（shī）来达到（dào）识（shí）别控制（zhì）目标和（hé）控制方式，并形成文件（jiàn）和记（jì）录。

BS7799-2：2002的控制细则包（bāo）括10个方面： 　

· 安全方针（zhēn）：为信息安全提供管理指（zhǐ）导和支持； 

· 组织安全（quán）：建立信息安全（quán）架构（gòu），保证组（zǔ）织的（de）内部管理；被第三方访问或外（wài）协时，保障组织的信（xìn）息（xī）安全（quán）； 

· 资产的（de）归类与控制：明（míng）确资产责任，保持对（duì）组织（zhī）资产的（de）适当保护；将信（xìn）息（xī）进行归（guī）类，确保（bǎo）信（xìn）息资产受到适当程度的保护； 

· 人员安全：在工（gōng）作说明和资（zī）源方面（miàn），减少因人（rén）为（wéi）错误（wù）、盗窃、欺诈和设施误用造（zào）成的风（fēng）险；加强（qiáng）用户培训（xùn），确保用户清楚知（zhī）道信息安（ān）全的危险性和（hé）相关事项，以便在（zài）他们的日常工作中支持组织的安（ān）全方针；制定安全事故或故障（zhàng）的反应程序（xù），减少由（yóu）安全（quán）事故和故障造成的损失（shī），监（jiān）控安全事（shì）件并从（cóng）这种事件中吸取教训； 

· 实物（wù）与环境（jìng）安全：确定安全区域（yù），防止非授权访问（wèn）、破坏、干扰商务场所和信息；通过（guò）保障设备安全，防止（zhǐ）资（zī）产的丢失、破（pò）坏、资产危害及商务（wù）活动（dòng）的中断；采用通用的（de）控（kòng）制方（fāng）式，防（fáng）止信息（xī）或信息处理设（shè）施（shī）损坏或失窃； 

· 通信和操（cāo）作（zuò）方式管理：明确操作程序及其责（zé）任，确保信（xìn）息处理（lǐ）设施（shī）的正确、安全操作（zuò）；加强系统策划与验（yàn）收，减少系统失效风险（xiǎn）；防范恶意软件以保持软（ruǎn）件和信息（xī）的（de）完整（zhěng）性（xìng）；加强内务管（guǎn）理以保持信息处（chù）理和通讯服（fú）务的完整性和有效性通过 ; 加强网络管（guǎn）理（lǐ）确保网络中的信息安全及（jí）其辅（fǔ）助设施受到保护；通过保护媒体处理的安全 , 防止资产损坏和商务活动的中断（duàn）；加强信息和软件的交换的管理，防止组织（zhī）间在交换信息时发生丢失、更（gèng）改和误用； 

· 访问控制：按照访问控制的商务要（yào）求，控制信息访问；加强用户（hù）访问管理（lǐ），防（fáng）止非授权访问信息系统；明确用户职责，防止非授权的用（yòng）户访（fǎng）问；加强网（wǎng）络（luò）访问控制，保护网络服务程序；加（jiā）强操作系统（tǒng）访问（wèn）控制 , 防止非（fēi）授权的（de）计算机访问；加强应用访问控制，防止非授权访问（wèn）系统中的信息；通过监控系统的访问与使用，监（jiān）测非（fēi）授权行为；在移动式计算（suàn）和电传（chuán）工作方面 , 确保使用移动（dòng）式计算和电传工作设（shè）施的（de）信息安（ān）全（quán）； 

· 系统开发与维（wéi）护：明确系（xì）统安全要求（qiú），确保安（ān）全性已（yǐ）构成信息（xī）系统（tǒng）的一部份；加（jiā）强应（yīng）用系统的安（ān）全，防止应用（yòng）系统用户（hù）数据的丢失（shī）、被修（xiū）改或误用；加强密码技术控制，保护信息的保密性、可靠性或（huò）完（wán）整性；加强系（xì）统文（wén）件（jiàn）的安全（quán），确保 IT 方（fāng）案（àn）及其支（zhī）持活动以安全（quán）的方式进行；加强开发（fā）和支持过程的安全，确保应用系统软件和信息的安（ān）全； 

· 商务连（lián）续性管理：防（fáng）止商务活（huó）动的中断及保护关键商务过程不受重大失误或灾难事故的影响； 

· 符合（hé）：符合法律法规要求，避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触；加强安全方针和技术符（fú）合性评审，确保体系按照（zhào）组（zǔ）织的安（ān）全方针及标准执行；系统（tǒng）审核（hé）考虑因素，使效果较大化（huà） , 并使系统审核过程的影响较小化（huà）。 　 

在国际标准 ISO/IEC17799 给出了为实现信息安全认（rèn）证所需的各（gè）项措（cuò）施的详细指导，具有很强的可操作性和（hé）指导性。

归根结底，信息（xī）安全工（gōng）作的（de）目的（de）就是在法律、法规、政策的支持与指导下，通过采用合适的安全技术（shù）与（yǔ）安全管理措施，提供安全需求的保证，而 BS7799 信息（xī）安全认（rèn）证标准正（zhèng）是总和了这些要求。组织可以根据自身（shēn）特点，在（zài） ISO/IEC 17799 指（zhǐ）导下，实现信息安全的要求（qiú）。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求》是（shì）关于信息安全（quán）管理的标准（zhǔn），是标准（zhǔn）不是方法，达到这些标准的要求并（bìng）不（bú）难，重（chóng）要（yào）的是用什么方法去实（shí）现（xiàn）。企（qǐ）业应（yīng）将实施标准作为改（gǎi）善内部（bù）管理的一次机会（huì），不应该将标准做为一（yī）种简单（dān）的（de）模式对现有流程运（yùn）作进行（háng）套（tào）用，应对现有的组织运（yùn）作流（liú）程进行（háng）详（xiáng）细分析，有针对性地设计并（bìng）改善现有（yǒu）管（guǎn）理（lǐ）体系、改善薄弱环节、改善运作流程（chéng）及内部沟（gōu）通（tōng），并有效地将先进（jìn）的（de）管理思想融合到具体的实施程序中，才能发挥标准的（de）真（zhēn）正（zhèng）作用。

获得认（rèn）证证书不是（shì）较终（zhōng）目的，建立有责、有序、有效（xiào）的信息安全（quán）管理体（tǐ）系（xì），提高员工的信息（xī）安全意识，不断获取（qǔ）并运用（yòng）先进的管理方法和技（jì）术手段才能使企业（yè）的（de）信息安全管理水平（píng）得以持续（xù）的发展和提升。