信息安全 (Information security): 是（shì）指信息的（de）保（bǎo）密性（xìng） (Confidentiality) 、完整性（xìng） (Integrity) 和可（kě）用性 (Availability) 的保持（chí）。

•  保密性：为（wéi）保障信（xìn）息仅仅为那些被授权使用的（de）人（rén）获取。

 信息的保密性是针对信息被允许访问（ Access ）对象的多（duō）少而不同，所有人员都可以访问的信息为公开（kāi）信息，需要限制访问的信息一（yī）般为（wéi）敏感信息或秘密，秘密可以根据信息的重要性及（jí）保密要（yào）求分为不同的密级，例如国家根据秘密泄露对国家经（jīng）济、安全利益产（chǎn）生的影响（后（hòu）果（guǒ））不同，将（jiāng）国家秘密分为（wéi）秘密、机密和绝密三个等级，组织（zhī）可（kě）根据其信息安全的实际，在符合《国（guó）家保密法（fǎ）》的前提下将其信（xìn）息划分为不同（tóng）的密级；对于具体（tǐ）的（de）信息的保密性有时效性，如秘密到（dào）期解密等（děng）。

 •  完整性：为保护信息及其处理方法的准（zhǔn）确性和完整性。

信息完整性一方面是指（zhǐ）信息在利用、传（chuán）输、贮存等过程中不被篡改、丢失（shī）、缺损等，另（lìng）一方面（miàn）是指信息处理的（de）方（fāng）法（fǎ）的正确性。不（bú）正（zhèng）当的（de）操作，如误删除文件（jiàn），有可能造成重要文件的丢（diū）失（shī）。

 •  可用性（xìng）：为保障授权（quán）使用人（rén）在需要时（shí）可以获（huò）取信息和（hé）使用相关的（de）资产。

信息的可用性是指信息及相关（guān）的信息资产（chǎn）在（zài）授（shòu）权人需要的时候，可以立即获得。例（lì）如通信线路中断故（gù）障会造（zào）成信（xìn）息的在一段时间（jiān）内不可用，影（yǐng）响正常的商业运（yùn）作（zuò），这是信息可（kě）用性的破坏。不同类（lèi）型（xíng）的信息及相应资产（chǎn）的信息安（ān）全在保密性、完整性（xìng）及可用性方（fāng）面关（guān）注点不同，如组织的（de）专有技术（shù）、市（shì）场营销计划等商业秘密对组织来（lái）讲保守（shǒu）机密尤其重（chóng）要；而对于工业自动控制系统，控（kòng）制信息的（de）完整性（xìng）相对其保（bǎo）密（mì）性重要得多。

为（wéi）什么需要信息安全？

信（xìn）息、信息（xī）处理（lǐ）过程及对信息起支持作用的信息系统和（hé）信（xìn）息网络都是（shì）重要的商务资产（chǎn）。信息的保密性、完整性和可用性（xìng）对保持竞争优势、资金流动、效益、法律符合性和（hé）商业形象（xiàng）都是至关重要的。然而，越来越多的组织及其信息（xī）系统和网络面（miàn）临着包括计算机诈骗（piàn）、间谍（dié）、蓄意（yì）破（pò）坏、火（huǒ）灾、水灾（zāi）等大范围的安（ān）全（quán）威胁，诸如计算机病毒、计算机入侵（qīn）、 Dos 攻击等手段造（zào）成的信（xìn）息（xī）灾难已（yǐ）变得更加普遍 , 有计划而不易被（bèi）察觉。组织对信息系统和信息服（fú）务（wù）的依（yī）赖意味着更易（yì）受（shòu）到安全（quán）威胁的破坏（huài），公共和（hé）私（sī）人网络的（de）互连及信息资源（yuán）的共享增大（dà）了实现访（fǎng）问控制的难度。许多信（xìn）息系统本身就不是按照安全（quán）系统的要（yào）求来设计的，所以仅（jǐn）依靠（kào）技术手段来实（shí）现信（xìn）息安全有其局限性，所以信（xìn）息安全的实（shí）现须得到管理和程（chéng）序（xù）控制的适当支持。确（què）定应采取哪些控制方式则（zé）需要周密计划，并注（zhù）意（yì）细节。信（xìn）息安全（quán）管理至少需要组织（zhī）中的所有（yǒu）雇员的参与，此外还需要供应商、顾客（kè）或股东的参与和信息（xī）安全的（de）专（zhuān）家建（jiàn）议（yì）。在信息系统设计（jì）阶段就将（jiāng）安全要求和控制一体化考虑，则成本会更低（dī）、效率会更高。

 BS7799的（de）信（xìn）息管理过程：

①确定信息安全管理方针。

②确定 ISMS( 信息安（ān）全管理体（tǐ）系) 的范围

③进行（háng）风险（xiǎn）分析。

④选（xuǎn）择控制目标（biāo）并进行（háng）控制（zhì）。

⑤建立业务持续计划（huá）。

⑥建立（lì）并实（shí）施安全管（guǎn）理体系（xì）。

 建立信息安全（quán）管理体系的作用：

 任何组织，不（bú）论它（tā）在（zài）信息技术（shù）方面如何（hé）努力以及采纳如（rú）何新的信息安全技术，实际上在（zài）信息（xī）安全管理方（fāng）面都还（hái）存在漏洞，例（lì）如：

· 缺少信息安（ān）全管（guǎn）理论坛，安全（quán）导向不明（míng）确，管（guǎn）理（lǐ）支（zhī）持不明（míng）显（xiǎn）； 

· 缺少跨部（bù）门的信息安全（quán）协调机制； 

· 保护特（tè）定资产以及（jí）完（wán）成（chéng）特定安全（quán）过程的职责还不（bú）明确； 

· 雇员信息安全意（yì）识薄（báo）弱，缺少防范意识（shí），外来人员很容易直接进入生（shēng）产和工作场所； 

· 组织信息系统（tǒng）管理制度不（bú）够（gòu）健全； 

· 组（zǔ）织信息系统主机房安全存在隐患，如：防火设施存在问题，与危（wēi）险品仓库同处一幢（zhuàng）办公楼（lóu）等； 

· 组织信（xìn）息系统备份（fèn）设备仍有（yǒu）欠缺（quē）； 

· 组织信息系统（tǒng）安全防范技（jì）术投入欠缺； 

· 软件知识产（chǎn）权保护欠缺； 

· 计算机（jī）房、办公场所（suǒ）等物理防范措施（shī）欠缺（quē）； 

· 档（dàng）案、记录等缺（quē）少（shǎo）可（kě）靠贮存（cún）场所； 

· 缺少一旦发生意外时的保证生产经营连续性的措施和计划； 

        ……等等。

为什么要（yào）建立和实施ISO27001信息安全管理（lǐ）体系认证（2）

其（qí）实，组织（zhī）可以参照信息安全管理模型，按照先进的（de）信息安全管理标准 BS7799 标准（zhǔn）建立组织完整的（de）信息安（ān）全（quán）管理体系并实（shí）施与保持，达到动态的、系统的（de）、全员参与、制度化（huà）的、以预防为主的信息（xī）安全管理（lǐ）方式（shì），用较低（dī）的（de）成本，达到可接受的信息安全水（shuǐ）平，就可以从根本上保（bǎo）证（zhèng）业务的连续性。组织建立（lì）、实施与保持信息安全管理（lǐ）体系将会产（chǎn）生如下作用（yòng）：

· 强化员工的信息（xī）安全（quán）意识，规（guī）范组织信息安全行为（wéi）； 

· 对组织的关键信息（xī）资产进（jìn）行全面系统的保（bǎo）护，维持竞（jìng）争（zhēng）优（yōu）势； 

· 在信息系统受到侵袭时，确保业（yè）务持（chí）续开展（zhǎn）并将损失降到较低程度（dù）； 

· 使组织的生意伙（huǒ）伴和客户对组织充（chōng）满信心（xīn）； 

· 如果（guǒ）通过体系认证（zhèng），表明体系（xì）符合标准，证（zhèng）明组织有能力保障重要信息（xī），提高组（zǔ）织的名度与信任（rèn）度（dù）； 

· 促使管理层坚持贯彻信（xìn）息（xī）安全（quán）保障体系。 

BS7799标准概述：

· 1995 年，英国贸工部根据英国国内（nèi）企（qǐ）业对信息安全日益高涨的呼声，组织大企业的信息（xī）安全经（jīng）理们（men），制（zhì）定了世界上（shàng）第一个信息安全（quán）管理体系（xì）标准 BS7799-1 ： 1995 《信息（xī）安全管（guǎn）理实（shí）施规则》，作为工（gōng）商（shāng）业（yè）和（hé）大、中、小（xiǎo）型（xíng）组织实（shí）施（shī）信息安全（quán）管（guǎn）理的指南。由于该标准（zhǔn）采用建议和指导（dǎo）方式编写（xiě），因而不宜（yí）作为认证标准使用。 

· 1998 年，为了适（shì）应第三方认证的需要（yào），英（yīng）国又制定（dìng）了第一个信息安全管理体系认证标（biāo）准 --BS7799-2 ： 1998 《信息安全管（guǎn）理体系规范（fàn）》，作为对一个组织的全部或部分信息安全管理（lǐ）体系进行评审（shěn）认证的依据标准。 

· 1999 年，鉴于（yú）计算机和信息处理技术（shù），尤其是网络（luò）和通信领域应用的（de）迅速（sù）发展，英国又对信息（xī）安（ān）全管（guǎn）理体系标准（zhǔn）进行了修订（dìng）。修订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的（de） 1999 版标准进一步强调了组织在商务（wù）工作中所涉及的（de）信息安全和信息（xī）安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对（duì）配套标准（zhǔn）， BS7799-1 ： 1999 为如何建立和实施符（fú）合 BS7799-2 ： 1999 标准要求的（de）信息安全管理体（tǐ）系（xì）提（tí）供了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息（xī）技术（shù）—信息（xī）安全管理实施规则》，另（lìng）外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本修订后成为可用于（yú）认证的 ISO/IEC 的《信息安（ān）全管理体系规范》。 

信息安（ān）全认证是实（shí）现信息（xī）安全目标的（de）较佳途（tú）径：

BS7799-2：2002信（xìn）息安全管理体系（xì）规范（fàn）向组织提出了一系列认证的要（yào）求，在（zài）总（zǒng）则（zé）中提出组织应建立（lì）并保持一（yī）个（gè）文件化的信息（xī）安全管（guǎn）理体系（xì），阐述（shù）被保护（hù）的资产（chǎn）、组织风险（xiǎn）管理的渠道、控制目（mù）标及控（kòng）制方（fāng）式和（hé）需要的保证等级；通过建立管理架构并加以实（shí）施来达（dá）到识别控制目标和控（kòng）制方式，并（bìng）形成（chéng）文件（jiàn）和记（jì）录。

BS7799-2：2002的控制细则包括（kuò）10个方面： 　

· 安全方针（zhēn）：为信息安全（quán）提供（gòng）管理指（zhǐ）导和支（zhī）持； 

· 组织安全：建立信息安（ān）全架构，保证组织（zhī）的（de）内（nèi）部管理（lǐ）；被第三方访问或外协时，保障（zhàng）组织的信息（xī）安全； 

· 资产的（de）归类与（yǔ）控（kòng）制：明（míng）确资产责任，保持对组织资产的适当保护；将信息进行归类，确（què）保信息资产受到（dào）适当程度的保护； 

· 人员安全：在（zài）工（gōng）作说明和资源（yuán）方面（miàn），减少因（yīn）人为（wéi）错误（wù）、盗窃、欺诈（zhà）和（hé）设（shè）施误用造成的风险；加（jiā）强用户培训，确保用户（hù）清（qīng）楚知道（dào）信息安全（quán）的危（wēi）险性（xìng）和相关（guān）事项（xiàng），以便在（zài）他们（men）的日常工作中支持组织的安（ān）全方（fāng）针；制定安（ān）全事故或故障的（de）反应程序，减少由安全事（shì）故和故障造成的损失，监控安全事件并从这种事（shì）件中吸取（qǔ）教（jiāo）训（xùn）； 

· 实物与环境安（ān）全：确定（dìng）安全（quán）区域，防止非授权（quán）访问（wèn）、破（pò）坏、干扰商务场所（suǒ）和信息；通过保（bǎo）障设备安全，防止（zhǐ）资（zī）产的丢失（shī）、破坏、资（zī）产危（wēi）害及（jí）商务（wù）活动的中断（duàn）；采用通（tōng）用的控制（zhì）方式，防（fáng）止信息或信息处理设施（shī）损坏（huài）或失窃； 

· 通（tōng）信和操（cāo）作方式（shì）管理：明确操作程序及（jí）其责任，确保信（xìn）息处理设（shè）施的正（zhèng）确、安全（quán）操作；加（jiā）强系统策划与验收，减（jiǎn）少系统失效（xiào）风险（xiǎn）；防范恶（è）意软（ruǎn）件以保持软（ruǎn）件和信息的完整性（xìng）；加强内务（wù）管（guǎn）理以保（bǎo）持信息处理和通讯服务（wù）的（de）完整性和有（yǒu）效性通（tōng）过（guò） ; 加强网（wǎng）络（luò）管理确（què）保网络（luò）中的（de）信（xìn）息安（ān）全及其辅助设施受到保护；通过保护（hù）媒（méi）体处理的（de）安全 , 防止资产损坏和商务活（huó）动的中断（duàn）；加（jiā）强（qiáng）信息和软件的交换的管理，防止组（zǔ）织间在交换信息时发生丢失、更（gèng）改和误用； 

· 访问控制：按照访问控制的商务要求，控制信息访问；加强用户访（fǎng）问管理，防止非授权访问信息系统；明确（què）用户职责，防止（zhǐ）非授权的用户访问；加强网络访问控制，保护网络服（fú）务程序；加强操作系统访问控制 , 防止（zhǐ）非授权（quán）的计算机访问；加强应用访问控制，防（fáng）止（zhǐ）非授（shòu）权访问（wèn）系统中的信息；通过监（jiān）控系统（tǒng）的访问与使用，监测非授权行为；在移动式计算和电传工作方（fāng）面 , 确保使用移动式（shì）计算和电传工作设施的信息安全（quán）； 

· 系统开发与（yǔ）维护：明确系（xì）统安全要求，确保安（ān）全性已构成信息系（xì）统的一部份；加强应用系统的安全，防止应用（yòng）系（xì）统用户（hù）数（shù）据的丢失（shī）、被修改（gǎi）或误用；加强密码（mǎ）技术控制，保护信息的（de）保密性、可靠性或（huò）完整性；加强（qiáng）系统文件的安全，确保（bǎo） IT 方案及其支持（chí）活动以（yǐ）安全的方（fāng）式进行；加强（qiáng）开发和支持过（guò）程的安全，确保应用系统软件和信息的安（ān）全； 

· 商务（wù）连续性管理：防止商务活动的中断及保护关键（jiàn）商务过程不受（shòu）重大失误或灾（zāi）难事故的影响； 

· 符合：符合法律法规要求，避免刑法、民（mín）法、有关法令法（fǎ）规或合同约（yuē）定事（shì）宜及其他安全要求的（de）规定相抵触；加强安（ān）全（quán）方针（zhēn）和（hé）技（jì）术符合（hé）性评审，确（què）保（bǎo）体系（xì）按照组织的安全方针及标准执行；系统审核考虑（lǜ）因（yīn）素，使效果较（jiào）大化 , 并使系统审核过程的影响较小化。 　 

在国际标（biāo）准 ISO/IEC17799 给出了为实现信（xìn）息安全认证（zhèng）所需的各项措（cuò）施的详（xiáng）细指（zhǐ）导，具有（yǒu）很强的可操作性和指导性。

归（guī）根结底（dǐ），信息安全（quán）工作的目（mù）的就（jiù）是（shì）在法律、法规、政策（cè）的支持与指导下，通过采用合适的安全技术与安（ān）全（quán）管理措施，提供安全需求的保（bǎo）证，而 BS7799 信息安全认证标准正是总和（hé）了这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导（dǎo）下（xià），实现信息安全的要求。

 ISO27001：2005 《信息安全管理体（tǐ）系要求》

 ISO27001 ： 2005 《信息安全管理体系（xì）要求》是关于（yú）信息安全管（guǎn）理的（de）标准，是标准不是（shì）方法，达到这些标准的要求并不难（nán），重要的是用什么（me）方法去实现（xiàn）。企（qǐ）业应将实施标（biāo）准作为（wéi）改善内部管（guǎn）理的一次（cì）机会，不应该将标准做为一种简单的模式对现有流程运（yùn）作进行套用（yòng），应对现有的（de）组织运作流程进（jìn）行（háng）详（xiáng）细分（fèn）析，有针对性地（dì）设计并改善现有管理体系、改善（shàn）薄弱环节、改（gǎi）善运作流程及内（nèi）部沟通，并有效地将（jiāng）先进的管理思想融合到（dào）具体的实施程序（xù）中，才能发挥标准的真（zhēn）正（zhèng）作用。

获得认证证书不是较（jiào）终目的，建立有责、有序、有效的信息安全管理体（tǐ）系，提高员工的信（xìn）息安全意识（shí），不断获取并运（yùn）用先进的管（guǎn）理方法和技术（shù）手（shǒu）段才能使（shǐ）企（qǐ）业的（de）信息安全管（guǎn）理水平得（dé）以持续的发展（zhǎn）和提升。