信息安全 (Information security): 是指信息的保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可（kě）用（yòng）性 (Availability) 的（de）保持。

•  保密性：为保障信息仅（jǐn）仅为那些被授权使用的人获取。

 信（xìn）息的保（bǎo）密性是针对信息被允许（xǔ）访问（ Access ）对（duì）象的多少而不同（tóng），所有人员都可以访问的信息为（wéi）公开信息，需要限制（zhì）访问的信（xìn）息一般为（wéi）敏感信息或（huò）秘密（mì），秘密可（kě）以根据（jù）信息的（de）重（chóng）要性及（jí）保密要求分为不同的密级，例（lì）如（rú）国家根据（jù）秘密泄露对国家（jiā）经（jīng）济（jì）、安全（quán）利益（yì）产生的影响（后果（guǒ））不（bú）同，将国家秘密分（fèn）为秘（mì）密、机（jī）密和绝密三个（gè）等级，组（zǔ）织（zhī）可根据其信息安全的实（shí）际，在（zài）符（fú）合《国家（jiā）保密法》的前提下将其信（xìn）息划（huá）分为不同的密级；对（duì）于具体的信息的保（bǎo）密性（xìng）有时（shí）效性，如秘（mì）密（mì）到期（qī）解密等（děng）。

 •  完整性：为保护信息及其处理方法的准确性和完整性。

信（xìn）息完整（zhěng）性一方面是指信息在利用、传输、贮存等过程中不被（bèi）篡改、丢失、缺（quē）损等，另（lìng）一（yī）方面是（shì）指信息处理（lǐ）的方（fāng）法的正确性。不正当（dāng）的操作，如误删（shān）除文件，有（yǒu）可能造成重（chóng）要文件的丢（diū）失。

 •  可用（yòng）性：为保障授（shòu）权使用人在需要时可（kě）以（yǐ）获取信（xìn）息和使用相（xiàng）关的资产。

信息的可用性是指信息（xī）及相关的信（xìn）息资产（chǎn）在授权人需要的时候，可以立即获得。例如通信线路中断故障会造成信息的（de）在一段时间内不可用（yòng），影响（xiǎng）正（zhèng）常的商（shāng）业（yè）运作，这是信息（xī）可用性的破坏。不同类型的信息及相应资产（chǎn）的信息安全在保密性、完整（zhěng）性及可用性方面关注点不同，如组（zǔ）织的专有技（jì）术、市（shì）场（chǎng）营销计划（huá）等（děng）商业秘密对组（zǔ）织（zhī）来（lái）讲（jiǎng）保守机密尤其（qí）重（chóng）要；而（ér）对于工业自动控制系统，控制信（xìn）息的（de）完整性相（xiàng）对其保密性重（chóng）要（yào）得多。

为（wéi）什（shí）么需要信息安全？

信息、信息处（chù）理过程及对（duì）信息起（qǐ）支持作用（yòng）的信息（xī）系统和信（xìn）息网络（luò）都是重要的商务资产。信（xìn）息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性（xìng）和商业形象（xiàng）都是至（zhì）关重要（yào）的。然而，越来越多的（de）组织及其信（xìn）息系统和网络面（miàn）临着包括计（jì）算机诈骗、间谍、蓄（xù）意破坏、火灾、水灾等（děng）大范（fàn）围的安全威胁，诸如计（jì）算机病毒、计算机入侵、 Dos 攻击等手段造（zào）成的信息灾难已变得更加普遍 , 有计划而不易被察觉。组织对信息系统和（hé）信息服务的依赖意味着更易受到安全威胁的破坏，公共和（hé）私人网络的互连及信息资源的共享（xiǎng）增大了实现（xiàn）访问（wèn）控（kòng）制的难度。许（xǔ）多信息系统本身就不是（shì）按照安全系统的要（yào）求来设计的，所以（yǐ）仅（jǐn）依靠技（jì）术手段来实现（xiàn）信息安全（quán）有其局限性，所（suǒ）以信（xìn）息安全的实（shí）现（xiàn）须得到管理（lǐ）和程序（xù）控制的适当支持。确定（dìng）应采取哪些控制（zhì）方式（shì）则需要周（zhōu）密（mì）计划，并注意细节（jiē）。信息安全管理（lǐ）至少需要（yào）组织中的所有雇（gù）员的参（cān）与，此外还需（xū）要供（gòng）应商、顾客或股东的参（cān）与和信息安全的专家（jiā）建（jiàn）议。在信（xìn）息系统设（shè）计阶段（duàn）就将安（ān）全（quán）要求和控制一体化考虑，则成本会更低、效率会（huì）更高（gāo）。

 BS7799的信息管理过程：

①确定（dìng）信（xìn）息安全管理（lǐ）方（fāng）针。

②确定（dìng） ISMS( 信（xìn）息安全（quán）管理体系) 的范围

③进行（háng）风险分析。

④选择（zé）控制目标（biāo）并（bìng）进行控制（zhì）。

⑤建立业务持续计划（huá）。

⑥建立并实施安全管理体系。

 建立信息安全管（guǎn）理体（tǐ）系的作用：

 任何组织，不论它在信息技术方面如何努力（lì）以及采纳如何新的信（xìn）息安全技术（shù），实（shí）际上在信（xìn）息（xī）安全管理方面都还存在漏洞，例如：

· 缺少信息安全管理论坛，安（ān）全（quán）导（dǎo）向不（bú）明确，管理（lǐ）支持不明显（xiǎn）； 

· 缺少跨部门的信（xìn）息安全协调机制； 

· 保护特定（dìng）资产（chǎn）以及完成特（tè）定（dìng）安（ān）全过程（chéng）的职（zhí）责还不明确； 

· 雇员信（xìn）息（xī）安全意识薄（báo）弱，缺少防范意识（shí），外来人员很容易直接（jiē）进入生产和工作场所； 

· 组织信息系统管理制度（dù）不够（gòu）健全； 

· 组织信息系统主（zhǔ）机房（fáng）安全存在隐患，如：防火（huǒ）设施存在问题，与危（wēi）险品仓库同处一幢办公楼（lóu）等（děng）； 

· 组织信息系统备（bèi）份（fèn）设备仍有欠缺； 

· 组（zǔ）织信息系（xì）统安（ān）全防范技术投（tóu）入欠缺； 

· 软件知识产权保护欠缺； 

· 计算机房、办公场所等（děng）物理防范措施欠缺； 

· 档案（àn）、记（jì）录等缺少可靠贮存场所； 

· 缺少一旦（dàn）发（fā）生意外（wài）时（shí）的保（bǎo）证生产经营连续性的措施和计（jì）划； 

        ……等等。

为什么要建立和（hé）实施ISO27001信（xìn）息（xī）安全（quán）管理体系认证（2）

其实，组织（zhī）可以参照信息安全管理模型，按照先进（jìn）的信息（xī）安全管（guǎn）理标准 BS7799 标准建立组织完（wán）整（zhěng）的信（xìn）息安全管理体系并实（shí）施与保持，达到动（dòng）态的、系统的、全员参与（yǔ）、制度化的、以预防为主（zhǔ）的信（xìn）息安全（quán）管理方式，用较低的成本，达到可接受的信息（xī）安全水平，就可以从根本（běn）上保（bǎo）证业务（wù）的连（lián）续性。组织（zhī）建立、实施与保持信息（xī）安全管（guǎn）理体系将会产（chǎn）生如下（xià）作用：

· 强（qiáng）化员工的信息安全意识，规范组织信息安全行为； 

· 对组织（zhī）的关键（jiàn）信息资产（chǎn）进行全面系（xì）统的保护，维持竞争优势； 

· 在信息系统受到侵袭时，确（què）保业务持（chí）续开展（zhǎn）并将损失降到较低程度； 

· 使组织的生（shēng）意伙伴和客户对组织（zhī）充满信心； 

· 如果通过体系（xì）认证，表明（míng）体系符（fú）合标准，证明组织有（yǒu）能力保障重要信息（xī），提高（gāo）组织（zhī）的名（míng）度与信任度（dù）； 

· 促使管理层坚持贯彻信息安全保障（zhàng）体系。 

BS7799标准概述：

· 1995 年，英国贸工部根（gēn）据英国国内企业（yè）对信息安全日益高涨的呼声，组织大企业（yè）的信息安全经理们，制定了（le）世界上第一个（gè）信息安全管理（lǐ）体系标准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为（wéi）工商业和大（dà）、中、小型组织（zhī）实施信息（xī）安全管理的指南。由于（yú）该（gāi）标准采用建议和指导方（fāng）式编（biān）写，因（yīn）而不（bú）宜作为认证标准使用（yòng）。 

· 1998 年，为了适应（yīng）第三方认证的需要，英国又（yòu）制定（dìng）了第一个信息安全管理（lǐ）体系认证标准 --BS7799-2 ： 1998 《信息安全管理（lǐ）体系规范》，作（zuò）为对一个（gè）组织的全部或部（bù）分信息安全管理体系进行评（píng）审认证的依据标准（zhǔn）。 

· 1999 年，鉴于计算机和信息处理技术，尤其（qí）是（shì）网络和通信领域应用的迅速（sù）发展（zhǎn），英国又对（duì）信（xìn）息安全管理体系标准进行（háng）了修订。修订后的 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 分（fèn）别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标（biāo）准进（jìn）一步强调了组织在商务工（gōng）作中（zhōng）所涉（shè）及（jí）的（de）信息（xī）安全和信息安全责任。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一对（duì）配套标准， BS7799-1 ： 1999 为（wéi）如何（hé）建立和实施符合 BS7799-2 ： 1999 标（biāo）准要求的信息安全管理体系提供了较（jiào）佳（jiā）的（de）应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成（chéng）为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管（guǎn）理实（shí）施规则》，另（lìng）外， BS7799-2 ： 1999 也即（jí）将于 2002 年底被 ISO/IEC 作为（wéi）蓝本修订（dìng）后成为（wéi）可用（yòng）于认证的（de） ISO/IEC 的（de）《信息安（ān）全管（guǎn）理体系规范》。 

信息（xī）安全（quán）认（rèn）证是实现信息安全目标（biāo）的（de）较佳（jiā）途径：

BS7799-2：2002信息安（ān）全管理体系规范向组织提出了一系列认证（zhèng）的要求（qiú），在总则中提出组织应（yīng）建立（lì）并保持一个文件化的信（xìn）息（xī）安全管理体系，阐述被保（bǎo）护的资产、组（zǔ）织风险管理的渠（qú）道、控制目标及控制方式和需要的保证等级；通（tōng）过（guò）建（jiàn）立（lì）管理架构并加以实施（shī）来达到（dào）识别控制目标和控制方式，并形成文（wén）件和（hé）记录（lù）。

BS7799-2：2002的控制细则包（bāo）括（kuò）10个方面（miàn）： 　

· 安全方（fāng）针（zhēn）：为信息安全（quán）提供管（guǎn）理（lǐ）指导和支持； 

· 组织安全（quán）：建立信息安全架构，保（bǎo）证组（zǔ）织的内部管（guǎn）理；被第三方访（fǎng）问或外（wài）协时，保障（zhàng）组织（zhī）的信息安全（quán）； 

· 资产的（de）归（guī）类（lèi）与控（kòng）制：明（míng）确资（zī）产责任，保持对组织资产的适（shì）当保护；将信息进行（háng）归类，确（què）保信息资产受到适当程度的保护（hù）； 

· 人员安全：在工作说明和资源（yuán）方面，减少（shǎo）因人为错误（wù）、盗窃、欺诈（zhà）和设（shè）施误用造成的风险；加强用户（hù）培训，确保用户清（qīng）楚（chǔ）知道（dào）信息安全的危（wēi）险性和（hé）相关事项，以（yǐ）便在他们的日常工作中（zhōng）支（zhī）持（chí）组织（zhī）的安全方针（zhēn）；制定（dìng）安全事故或故障的（de）反应程序，减少由安（ān）全事故和故障造成的损失，监控安全事件并（bìng）从这（zhè）种事件中（zhōng）吸取教训； 

· 实（shí）物（wù）与环境安全：确定安全区域，防止非授权（quán）访问、破坏、干扰商务场所和信息（xī）；通过保障设（shè）备安全，防止资产的丢失（shī）、破坏、资产危害及商务活动（dòng）的中断（duàn）；采用通用的控制方式（shì），防止信息或信息处理设施损坏或失窃； 

· 通信和操作方（fāng）式管理：明确操（cāo）作程序及其（qí）责任，确保信息处理设施的正（zhèng）确、安全操作；加强系统（tǒng）策划（huá）与验（yàn）收，减少系统失（shī）效风险；防范恶意软件以保持软件（jiàn）和信息的（de）完整性；加（jiā）强内务管理以保持信息处理和通讯服务的完整性和有效性通过（guò） ; 加（jiā）强网络管理确保网络中（zhōng）的信息安全及其辅助设施受到保（bǎo）护（hù）；通（tōng）过保护媒体处理的安全（quán） , 防止（zhǐ）资产损坏（huài）和商（shāng）务活（huó）动的中断；加强信息和（hé）软件（jiàn）的交换的管理，防止（zhǐ）组织间在交换信息时发生（shēng）丢失、更（gèng）改（gǎi）和误用； 

· 访（fǎng）问控（kòng）制：按照访问（wèn）控制（zhì）的商务要求（qiú），控制信（xìn）息访问；加强用户访（fǎng）问管理，防止（zhǐ）非授权（quán）访问（wèn）信息系（xì）统；明确用户（hù）职责，防止非授（shòu）权的用户（hù）访问（wèn）；加强网络访问控（kòng）制，保护网络服务程（chéng）序；加强操作系统访问控制 , 防止非授权的（de）计算机访问；加（jiā）强应用访问控制，防止非授权访问系统中的信息；通过监控系统的访问与（yǔ）使用，监（jiān）测非授权行为；在移（yí）动式计算（suàn）和电传工作（zuò）方面 , 确保使用移动式（shì）计（jì）算和（hé）电（diàn）传工作设（shè）施的信息安全； 

· 系统开发与维护：明确系统安全要求，确保安全性已构成信息系统（tǒng）的一（yī）部份；加强应用系统（tǒng）的安（ān）全，防（fáng）止应用系（xì）统用户数据的丢失（shī）、被修改或误用；加（jiā）强密码技（jì）术（shù）控制，保（bǎo）护信息的保密性、可靠性或完整性；加强系统文件的安全，确保 IT 方案及其（qí）支持活动以安全的方式进行；加强开发和支持（chí）过程的安全，确保应用系统软件和信（xìn）息（xī）的安全； 

· 商务连续性（xìng）管理：防（fáng）止（zhǐ）商务活动的（de）中断及保护关键商务过程不受重大失（shī）误或灾难事故的影响； 

· 符合：符合法律法规要求（qiú），避免刑（xíng）法、民法、有关法令法规或合同（tóng）约定事宜及其他安全要求的规定相抵触；加强（qiáng）安全方针和技术符（fú）合（hé）性评审，确保体系按照组织的安全方针及标（biāo）准执行（háng）；系统审（shěn）核考虑（lǜ）因（yīn）素（sù），使效果较大化 , 并使系统审核（hé）过程的影响较小化。 　 

在（zài）国际标准 ISO/IEC17799 给出了为（wéi）实现（xiàn）信（xìn）息安全认（rèn）证所需的各项措（cuò）施的详细指导（dǎo），具有很强的可（kě）操作性和（hé）指导（dǎo）性。

归根结（jié）底，信息安全工作的目的就是在法律、法规、政策（cè）的支持与指导下，通过（guò）采用合适的安全（quán）技术（shù）与安全管理措施，提供安全需（xū）求（qiú）的保证，而 BS7799 信息安全认证（zhèng）标准正是总和了这些要求（qiú）。组织可以根据自身特点（diǎn），在 ISO/IEC 17799 指导下，实现（xiàn）信（xìn）息安（ān）全的要求。

 ISO27001：2005 《信息安全（quán）管理体系要求（qiú）》

 ISO27001 ： 2005 《信息安全管理体系要求》是关（guān）于信息安全管理的标准（zhǔn），是标（biāo）准不是方法，达到这些（xiē）标准的要求并不难，重（chóng）要的是用什么（me）方法去实现。企业应（yīng）将实施标准作为改善内部管理的一次机会，不应该（gāi）将（jiāng）标准做为一种简单的模式对现有流程运作进行套（tào）用，应（yīng）对现有（yǒu）的（de）组（zǔ）织运作流程进行详细分析，有（yǒu）针对性地（dì）设计并改（gǎi）善（shàn）现有管理体系、改善薄弱环（huán）节、改善运作（zuò）流程及内部沟通，并有效地（dì）将先进的管理思想融合到具体的实（shí）施程序（xù）中，才能发挥（huī）标准的真正作（zuò）用。

获得认证（zhèng）证书（shū）不是较终目的，建立有责（zé）、有序、有效的信息安全（quán）管理体（tǐ）系，提高（gāo）员工的信（xìn）息（xī）安全（quán）意识（shí），不断获取并（bìng）运用先进（jìn）的管理方法和技（jì）术手段（duàn）才能使企业的信息安（ān）全（quán）管理（lǐ）水（shuǐ）平得以持续（xù）的发展和（hé）提（tí）升。