信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和（hé）可用性 (Availability) 的保持。

•  保密（mì）性：为（wéi）保障信息仅仅为那（nà）些被授权使（shǐ）用的（de）人获取。

 信（xìn）息的保密性是针对信息被（bèi）允许访问（ Access ）对象的多少而不同，所（suǒ）有人员都可以访问（wèn）的（de）信（xìn）息为公开信息，需要限制访问（wèn）的信（xìn）息一般为敏感信息或秘密，秘密可以根据信息的重要（yào）性（xìng）及保密要求分（fèn）为不同的密级，例如国家根据秘密泄（xiè）露对国家经济、安全利益产生的影响（后果）不同，将国家（jiā）秘密分为秘密（mì）、机密（mì）和绝密三个等级，组织可根据其信息安（ān）全的实（shí）际，在符（fú）合《国（guó）家保密法》的（de）前提下将其信息划分为（wéi）不同（tóng）的密（mì）级；对于具体的信息的保密性有时效性（xìng），如（rú）秘密（mì）到期解（jiě）密等。

 •  完整（zhěng）性：为保护信息（xī）及其处（chù）理方法（fǎ）的（de）准确（què）性和完（wán）整性（xìng）。

信息（xī）完（wán）整（zhěng）性一（yī）方（fāng）面是指信息在利用（yòng）、传输、贮存等过程中不被篡改、丢失、缺损等，另（lìng）一方面是指信（xìn）息处理的方法的（de）正确（què）性（xìng）。不正当的（de）操作，如误删除文件，有可能造成重要文件的丢失。

 •  可用（yòng）性：为保障（zhàng）授（shòu）权使（shǐ）用人在需要（yào）时可以获取信息（xī）和使用相关的资产。

信息的可用（yòng）性是指信（xìn）息（xī）及相关的信息资产（chǎn）在授权人需（xū）要（yào）的时候，可以（yǐ）立（lì）即获得。例如通信线路中断故障会造成信息的在一段（duàn）时间内不（bú）可用（yòng），影响（xiǎng）正常的商业运作，这是信（xìn）息可用性的破坏。不同类型的信息及相（xiàng）应资产（chǎn）的信息安（ān）全在保密性（xìng）、完整性及（jí）可（kě）用性方面关注（zhù）点（diǎn）不同（tóng），如组织（zhī）的专有技术、市场营销计划等商（shāng）业秘密对组织来（lái）讲保（bǎo）守机密（mì）尤其重要（yào）；而对于工业自动控制系统，控制信息的（de）完整性相（xiàng）对其保密性重（chóng）要得（dé）多。

为什么需要信息安全？

信息（xī）、信息处理过程（chéng）及（jí）对信息起支（zhī）持作用（yòng）的信息系统和信息网络都是重要的商务资产。信息的保密（mì）性、完整性和可用性对保持（chí）竞（jìng）争（zhēng）优势、资金流动、效益、法律符合性（xìng）和商（shāng）业（yè）形象都是至关重要的。然（rán）而，越来越多的组织及其信息系统和网（wǎng）络面临着（zhe）包括计算机（jī）诈骗（piàn）、间谍、蓄意破坏、火灾、水灾等大范围（wéi）的安全威胁，诸如计算机（jī）病毒、计算机入侵（qīn）、 Dos 攻击等手段造成（chéng）的信息灾难已（yǐ）变（biàn）得更（gèng）加普（pǔ）遍（biàn） , 有计（jì）划而不（bú）易（yì）被察觉。组织对信（xìn）息系统和信息服务的依赖意味着更（gèng）易受到安全威（wēi）胁（xié）的破坏，公共（gòng）和（hé）私人网络的互（hù）连（lián）及信（xìn）息资源的共享增大了实现访问控制的难度。许多信息系统本（běn）身（shēn）就不是按（àn）照安全系统（tǒng）的要求来设计的，所以仅（jǐn）依靠技（jì）术手段来实现信息安全有其局（jú）限（xiàn）性（xìng），所以（yǐ）信息安（ān）全的实（shí）现须得到管理和程序控（kòng）制（zhì）的（de）适当支持。确定应采（cǎi）取哪些控（kòng）制（zhì）方（fāng）式则需要周密计划（huá），并注意（yì）细（xì）节。信息安全管理（lǐ）至少需要组织中（zhōng）的所（suǒ）有雇（gù）员的参（cān）与，此外还需要（yào）供应（yīng）商（shāng）、顾客或股东的参与和信息安全的专家建议。在信（xìn）息（xī）系（xì）统设（shè）计阶段就（jiù）将（jiāng）安（ān）全要求和控制（zhì）一（yī）体化考虑（lǜ），则成本会更低、效率（lǜ）会更高。

 BS7799的（de）信息管理过程：

①确定信（xìn）息安全管理（lǐ）方针。

②确定 ISMS( 信息安全管理体系) 的范围

③进行风险分析。

④选（xuǎn）择控制目标（biāo）并进行（háng）控（kòng）制。

⑤建立业务持续（xù）计划。

⑥建（jiàn）立并实施安全管理体系（xì）。

 建立信息（xī）安全管理（lǐ）体（tǐ）系的作用：

 任（rèn）何组织，不论它（tā）在（zài）信息技术方面如何（hé）努（nǔ）力（lì）以及（jí）采纳如何新的（de）信息安全技术，实（shí）际上在信（xìn）息安全管（guǎn）理方面都还存（cún）在漏洞（dòng），例如：

· 缺少信息安全管理论坛，安全导向不（bú）明（míng）确，管理支持不明显； 

· 缺少（shǎo）跨部（bù）门（mén）的信息安全（quán）协调（diào）机制； 

· 保护特定资产以及完成特定安全过程的职（zhí）责还不明确（què）； 

· 雇（gù）员（yuán）信息安全意识薄弱，缺（quē）少防范意识（shí），外来人（rén）员很（hěn）容易直接进入生产和工作场所； 

· 组织信（xìn）息系统管理制度不够（gòu）健全； 

· 组织（zhī）信息（xī）系（xì）统主机房安全存在（zài）隐（yǐn）患（huàn），如：防火（huǒ）设施存在问题，与（yǔ）危险品仓（cāng）库同处一（yī）幢办公楼（lóu）等（děng）； 

· 组织信息系统备份设备仍（réng）有（yǒu）欠缺； 

· 组（zǔ）织信息系统安全防范技术投入欠缺； 

· 软件知识产（chǎn）权保护欠缺； 

· 计算机房、办公场所等物理（lǐ）防（fáng）范措施欠（qiàn）缺； 

· 档案、记录等缺（quē）少可（kě）靠贮存场所； 

· 缺少一（yī）旦（dàn）发生意外时（shí）的保证（zhèng）生产经营连续性的措施和（hé）计（jì）划； 

        ……等等。

为什么要建立和实施（shī）ISO27001信（xìn）息安（ān）全管理体系认证（zhèng）（2）

其实，组织可（kě）以参（cān）照信息安全管理模型，按照先进的信息安全管理标准 BS7799 标准建立组织（zhī）完整的信息安全管理体系并实施与保（bǎo）持（chí），达（dá）到动（dòng）态的、系统的（de）、全员（yuán）参与、制度化的、以预防为主的（de）信（xìn）息（xī）安全（quán）管理方式，用较低的（de）成（chéng）本，达到可接受的（de）信息安全水平，就可（kě）以从（cóng）根（gēn）本（běn）上保证业务的连续性。组织建立、实施与保持信息安全管理体系将（jiāng）会（huì）产生如下作（zuò）用：

· 强化员（yuán）工（gōng）的信息安（ān）全意识，规范组（zǔ）织信息安全行为； 

· 对组（zǔ）织的关键信息资（zī）产进行全面系统的（de）保护，维持（chí）竞争优势； 

· 在信息系（xì）统受（shòu）到侵袭时，确（què）保（bǎo）业（yè）务持续开展并将损失（shī）降到（dào）较低程度； 

· 使组织的生意伙（huǒ）伴和客户对组织充满（mǎn）信心； 

· 如（rú）果通过体系认证，表明体系符（fú）合标准，证（zhèng）明组织有能（néng）力保障重要信息，提高组织（zhī）的名度与信任（rèn）度； 

· 促使管理层坚持贯彻信（xìn）息安（ān）全保（bǎo）障（zhàng）体系。 

BS7799标准（zhǔn）概述：

· 1995 年，英国贸（mào）工部根据英国（guó）国内企业对信息安全日益高涨的（de）呼声，组织大（dà）企业的信息安全经理们，制定（dìng）了世界（jiè）上第一个信息（xī）安全（quán）管理（lǐ）体系标准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大、中、小型组织实（shí）施信息安（ān）全管理的指（zhǐ）南。由于该标准采用建议和指导方式编写，因而不宜作为认证标准（zhǔn）使用。 

· 1998 年，为了（le）适（shì）应第（dì）三方认（rèn）证的（de）需要（yào），英国又制定了第一个信（xìn）息安全管理体系认证标准 --BS7799-2 ： 1998 《信（xìn）息安全管理体系规范》，作为（wéi）对一个组织（zhī）的全部或部分信息（xī）安全管理体（tǐ）系进行评审认证的依据（jù）标准。 

· 1999 年（nián），鉴（jiàn）于（yú）计算（suàn）机和信息处理技术，尤其（qí）是网络和（hé）通信（xìn）领域应用的迅速发展，英国又对信息安全管理体系标准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新（xīn）修订（dìng）的 1999 版标准进一步（bù）强调（diào）了（le）组织在商务工（gōng）作中所涉及的信息安全和信息安全责（zé）任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标（biāo）准， BS7799-1 ： 1999 为（wéi）如（rú）何建立（lì）和实施符合 BS7799-2 ： 1999 标（biāo）准要求的信息（xī）安全（quán）管理体（tǐ）系提供了较佳的应用建议。 

· 2000 年 12 月（yuè）， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息（xī）技术—信息安全管理实施规则》，另外（wài）， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作为蓝（lán）本修（xiū）订后成为可用于认证的 ISO/IEC 的《信息安全管理体系规范》。 

信息安全认证（zhèng）是实（shí）现信（xìn）息安全（quán）目标的较佳途径：

BS7799-2：2002信息安全管理体系规范（fàn）向组织提出了一系列认证的要求（qiú），在总则中提出组织（zhī）应建立（lì）并保持一个文件（jiàn）化（huà）的（de）信（xìn）息安全管理体系（xì），阐述被保（bǎo）护的（de）资（zī）产（chǎn）、组织风险管理的渠道、控（kòng）制目（mù）标及（jí）控（kòng）制方式和（hé）需（xū）要的（de）保证等级；通（tōng）过建立（lì）管（guǎn）理架构并加以实施（shī）来达到识别控制（zhì）目（mù）标和控制方式（shì），并形成文件和（hé）记录。

BS7799-2：2002的控制细（xì）则包（bāo）括10个方（fāng）面： 　

· 安全方针：为信息安全提供管（guǎn）理指导和支持； 

· 组织安（ān）全：建立信息安全架构，保证组（zǔ）织的内部管理；被第三方访问或外协时，保障组织的（de）信息安全； 

· 资产（chǎn）的归（guī）类与控（kòng）制：明确资产（chǎn）责任，保持（chí）对组织资产（chǎn）的适（shì）当保护（hù）；将信息进行归类，确（què）保信息资产受到适当程度的保护（hù）； 

· 人员安全：在工作（zuò）说明和（hé）资源方（fāng）面，减少因人为错误（wù）、盗窃、欺（qī）诈和设施误（wù）用造成的（de）风险；加强用户培训，确保（bǎo）用户清楚知（zhī）道信息安全的危（wēi）险性和相（xiàng）关事项，以便在他们的日（rì）常工作中支持组（zǔ）织（zhī）的（de）安（ān）全方针；制（zhì）定安（ān）全事故或故障的反应（yīng）程（chéng）序（xù），减少由安全事故和故障造成的（de）损失，监控安全事件并从这种事件中（zhōng）吸（xī）取（qǔ）教训； 

· 实物（wù）与环境安（ān）全（quán）：确定安（ān）全区（qū）域，防止非授权访问、破坏、干扰商（shāng）务场所和信息（xī）；通过保障（zhàng）设备（bèi）安全，防止资产的丢失、破坏、资产危害及商务活动的中断；采（cǎi）用（yòng）通用的控制方（fāng）式，防止信息或信息处理设施损坏（huài）或失窃（qiè）； 

· 通信和（hé）操作（zuò）方式（shì）管理：明确操作程序及其责任，确保（bǎo）信息处理（lǐ）设施的正确、安全操作；加强系（xì）统策（cè）划与（yǔ）验收，减少系统失（shī）效（xiào）风险；防范恶意软件以保（bǎo）持软件和信（xìn）息的（de）完整性；加强（qiáng）内务（wù）管（guǎn）理以保（bǎo）持信（xìn）息处（chù）理和通讯服务的完整性（xìng）和有（yǒu）效性通过 ; 加强网络管理确（què）保网络中的信息安全及其辅（fǔ）助设施受到保护；通过保护媒体处理的（de）安全 , 防（fáng）止资产损坏（huài）和商务活（huó）动的中断；加强信息和软件（jiàn）的交换的管理，防止（zhǐ）组（zǔ）织间在交换（huàn）信息时发生丢失、更改和误用； 

· 访问控制：按照访（fǎng）问（wèn）控（kòng）制的商务要求，控制信息访问；加强用（yòng）户访问管理（lǐ），防止非授权访问信息系统；明确用户职（zhí）责（zé），防止非授权的用户访问（wèn）；加强网络访问控（kòng）制（zhì），保护网络服务程序（xù）；加强操作系统访问控（kòng）制 , 防止（zhǐ）非授权的（de）计算机访问；加强（qiáng）应用访问（wèn）控制，防止非授权（quán）访问系统中的信息；通过（guò）监控系统（tǒng）的访问与使用，监（jiān）测非授（shòu）权行为；在移动式计算（suàn）和电传工（gōng）作方面 , 确保（bǎo）使用移动式计（jì）算和（hé）电传工作（zuò）设施的信息安全； 

· 系（xì）统（tǒng）开发与维护：明确系统安全要（yào）求，确保（bǎo）安全性已构成信息（xī）系统的（de）一部份；加（jiā）强应用系（xì）统（tǒng）的安全，防止应用系（xì）统用户数据的丢（diū）失、被修改（gǎi）或误用（yòng）；加强密码技术（shù）控制，保（bǎo）护信息的保密（mì）性、可（kě）靠性或完整性；加（jiā）强系（xì）统文（wén）件的安全，确保 IT 方案（àn）及其支持活（huó）动以安全的方式进（jìn）行；加强开发（fā）和支持过程的安全，确保应用系统软件（jiàn）和信息的安全； 

· 商务连续性管理：防止商务活动的中（zhōng）断及保护关键商务过程不受重大失误或灾难事故（gù）的影响； 

· 符合：符合（hé）法律法规要求，避免刑法、民法、有关法令（lìng）法规或合同（tóng）约（yuē）定事宜及（jí）其他安全要求的规定相抵触；加强（qiáng）安（ān）全（quán）方针和技术符合性评（píng）审，确保体系按照组织的安全（quán）方针及标（biāo）准执行；系统（tǒng）审核考（kǎo）虑因（yīn）素，使效果较大化 , 并（bìng）使（shǐ）系统审核过程的影响（xiǎng）较小化。 　 

在国（guó）际标（biāo）准 ISO/IEC17799 给出了（le）为实（shí）现信息安全认（rèn）证所需的各项（xiàng）措施（shī）的（de）详（xiáng）细指导，具有很强的可操作性（xìng）和指（zhǐ）导性。

归（guī）根结底，信息（xī）安全工作的目的（de）就是在法（fǎ）律、法规（guī）、政策的支持与（yǔ）指导下（xià），通过采用合适的安全技（jì）术（shù）与安全管理措施，提（tí）供安全需（xū）求的保证，而 BS7799 信息安全认证标（biāo）准正是总和（hé）了这些要求。组织（zhī）可（kě）以根据自身特点，在 ISO/IEC 17799 指导下，实现信息安全（quán）的要求。

 ISO27001：2005 《信息（xī）安全管（guǎn）理体系要求（qiú）》

 ISO27001 ： 2005 《信（xìn）息（xī）安全管理（lǐ）体（tǐ）系要求》是关于信息安全管理的标准，是标准不是方法（fǎ），达到这些标准（zhǔn）的要求并（bìng）不难，重要的是用什（shí）么方法去实现。企业应（yīng）将实施标准作为（wéi）改善内部（bù）管理（lǐ）的一次机（jī）会，不应该将标准（zhǔn）做（zuò）为一种简单的模式对（duì）现有流程运作（zuò）进（jìn）行套用，应（yīng）对现有的（de）组织运作（zuò）流程进行（háng）详细分析，有针对（duì）性（xìng）地设计并（bìng）改善现有（yǒu）管理（lǐ）体（tǐ）系（xì）、改（gǎi）善薄弱（ruò）环节、改善运作流程（chéng）及内（nèi）部沟通，并有效地（dì）将先进的管理思想融合（hé）到具体的实施程序中（zhōng），才能发挥标准的真正（zhèng）作用（yòng）。

获得（dé）认证证书（shū）不是较终目（mù）的，建立有责、有序（xù）、有效的信息安全管理体系，提高员工的信息安（ān）全意识，不（bú）断（duàn）获取并（bìng）运用先进的管理方法（fǎ）和技术（shù）手段才能使企（qǐ）业的信息安全（quán）管（guǎn）理水（shuǐ）平得以持续的（de）发（fā）展和提升。