信息安全 (Information security): 是指信息的保（bǎo）密性 (Confidentiality) 、完整性 (Integrity) 和可用（yòng）性 (Availability) 的保（bǎo）持。

•  保密（mì）性（xìng）：为保障信息仅仅为那些被授权使用（yòng）的人获取（qǔ）。

 信息（xī）的保密性是针对（duì）信（xìn）息被（bèi）允许（xǔ）访（fǎng）问（ Access ）对象的多少而不同，所有人员都可以访问的信息为（wéi）公开信息，需要限制访问的信息（xī）一般为敏感信息（xī）或秘密（mì），秘密可以根据信息的重要性及（jí）保密要求分为不同的密级，例如国（guó）家根据秘密泄露对国家经济、安（ān）全利益产生（shēng）的影响（后果）不（bú）同，将（jiāng）国家秘密（mì）分为秘密（mì）、机密（mì）和绝密三个等（děng）级，组织可根据其（qí）信（xìn）息安全的实际，在符合（hé）《国家保密法》的（de）前提（tí）下将其信息（xī）划分为不同（tóng）的（de）密级（jí）；对于具体的信息的保密性有时效性（xìng），如（rú）秘密到（dào）期解密等（děng）。

 •  完整性：为保（bǎo）护信息及其处（chù）理方（fāng）法的准（zhǔn）确性和完（wán）整（zhěng）性。

信息完整性（xìng）一（yī）方面是指信息在利用、传输、贮存等过程中不被篡（cuàn）改、丢失、缺损等，另一方面是指信息处理的方法（fǎ）的正确性（xìng）。不正当的操作，如误（wù）删除文件，有可能造成重（chóng）要文件的丢失。

 •  可（kě）用性：为保障（zhàng）授权使用人在需要时可以获取信息和（hé）使（shǐ）用相关的资产。

信息的可用性是指信息及相关（guān）的信（xìn）息资产在授权人需要（yào）的时候，可以立即获得（dé）。例如通信线路中断（duàn）故障会造成信息的在一段时间内（nèi）不可用，影响正常的商业运作，这是信息可用（yòng）性（xìng）的破（pò）坏。不同类型的信息及相应资产的（de）信息安（ān）全在保密性、完整（zhěng）性及可用性方（fāng）面（miàn）关注点不同，如（rú）组织的（de）专（zhuān）有技术、市场营销计（jì）划等商业秘密对组织来讲保守机密尤其重要；而对于工业自动控制系统，控制信息的（de）完（wán）整性相对其（qí）保密性重要得多。

为什么需要（yào）信（xìn）息安全？

信息、信（xìn）息处理（lǐ）过程（chéng）及对信息起支持作用的信息（xī）系统和信息网络都是重要（yào）的商务资产。信息的保（bǎo）密性、完整性和可用性对保持竞争优势、资（zī）金流动、效益、法律符（fú）合性和（hé）商业形象都是至关重要的。然（rán）而，越来越多的组（zǔ）织及其信息系统和（hé）网（wǎng）络面临着包括计（jì）算（suàn）机诈骗、间谍、蓄意（yì）破坏、火（huǒ）灾、水灾等大范（fàn）围的（de）安（ān）全威胁，诸如计算（suàn）机病毒、计算（suàn）机（jī）入侵、 Dos 攻击等手段造成的信（xìn）息灾难（nán）已变得更加普遍 , 有计（jì）划而不易被察觉（jiào）。组（zǔ）织（zhī）对信息（xī）系统和信息服务的依（yī）赖意味（wèi）着更（gèng）易受到安全威胁的（de）破坏，公共和私人（rén）网络的互连（lián）及信息资源的共享增（zēng）大了实现访问控制的难度（dù）。许多信息系统本身就不是按照（zhào）安（ān）全（quán）系（xì）统的要求来（lái）设计的，所以仅依靠技术手段来实现信息安全有其（qí）局限性，所以信息安全的实现须（xū）得到管理和（hé）程序控（kòng）制的适当支持。确定应（yīng）采取哪（nǎ）些控制方式则需要周密计划（huá），并注意细（xì）节。信（xìn）息（xī）安全管（guǎn）理至少需要（yào）组织（zhī）中的所有雇员（yuán）的参与（yǔ），此外（wài）还需要供应商（shāng）、顾客或股东的参与和信息安（ān）全的专家建议。在信息系统设（shè）计阶（jiē）段就将（jiāng）安全要（yào）求和控制一体（tǐ）化考虑，则成本会（huì）更低、效率会更高。

 BS7799的信息管理过（guò）程（chéng）：

①确定信（xìn）息安全管理方针。

②确定 ISMS( 信息安全管理体系) 的（de）范围

③进行风险分析。

④选择控制目（mù）标并进（jìn）行控制（zhì）。

⑤建立业务持（chí）续（xù）计划。

⑥建立并（bìng）实施安全管理体系（xì）。

 建立信息安全管理体系的作用：

 任何组（zǔ）织，不论它在信（xìn）息技术方面如何努力（lì）以及采（cǎi）纳如何新的信息安全技术（shù），实际上在信息安全管理方面都还存在（zài）漏洞（dòng），例如：

· 缺少信（xìn）息安全管（guǎn）理论坛（tán），安全（quán）导向不明确（què），管理支持不明显； 

· 缺少跨（kuà）部门的（de）信息（xī）安全（quán）协调机（jī）制； 

· 保护特定资产以及完成特定（dìng）安（ān）全过（guò）程的职责还不明（míng）确； 

· 雇员信息安全意识薄弱，缺少防范意识，外来人员很容易（yì）直接（jiē）进（jìn）入（rù）生产（chǎn）和工作场（chǎng）所； 

· 组（zǔ）织信息系统管理制（zhì）度不够健全； 

· 组织信息系统主机房安全（quán）存（cún）在隐患（huàn），如：防火（huǒ）设施（shī）存在（zài）问（wèn）题，与危（wēi）险品仓库同处一幢办公楼等； 

· 组（zǔ）织（zhī）信（xìn）息系统备（bèi）份设（shè）备仍有欠缺； 

· 组织信息（xī）系统安（ān）全（quán）防范技术（shù）投入欠缺（quē）； 

· 软件知识产权保护欠缺； 

· 计（jì）算（suàn）机房、办公场所等物理防（fáng）范措施欠缺； 

· 档案、记录（lù）等缺少可靠贮存场（chǎng）所； 

· 缺少（shǎo）一旦（dàn）发生（shēng）意（yì）外时的保（bǎo）证生产经营（yíng）连续性的措施（shī）和计划（huá）； 

        ……等等。

为什么要建（jiàn）立和实施（shī）ISO27001信息（xī）安全管理体系认证（2）

其实，组织可以参照信息安全管理模型，按照先进（jìn）的信息（xī）安全管理标准 BS7799 标准建立组织完（wán）整（zhěng）的信息安（ān）全管理体系（xì）并实施（shī）与保持，达（dá）到动（dòng）态（tài）的、系统的、全员（yuán）参与、制度化（huà）的、以预防为主（zhǔ）的信息安全管理方式，用（yòng）较低的成本，达到可（kě）接受的信息安全水平，就可以（yǐ）从根（gēn）本上保证（zhèng）业务的连续（xù）性。组织建立（lì）、实施（shī）与保（bǎo）持信息安全管（guǎn）理体系将会产（chǎn）生如（rú）下作用：

· 强化员工的信息安全意识，规范组织信息安全行为； 

· 对（duì）组织的关（guān）键信息（xī）资产进行全面（miàn）系统的保护，维持竞（jìng）争优势； 

· 在（zài）信（xìn）息系统受到侵袭时，确保业务持续开展并将损（sǔn）失降到较低程（chéng）度； 

· 使组（zǔ）织的生意伙伴和客（kè）户对（duì）组（zǔ）织充满（mǎn）信心； 

· 如果通过体系认证，表明体系（xì）符合标准，证明组织有能力保障重要信息，提高组织（zhī）的名度与（yǔ）信（xìn）任度； 

· 促使管理层坚持（chí）贯彻信（xìn）息安（ān）全保（bǎo）障体系。 

BS7799标准（zhǔn）概述：

· 1995 年，英（yīng）国贸（mào）工（gōng）部（bù）根据英国国（guó）内企业对信息安（ān）全日益高涨的呼（hū）声，组织大企业的信息安全经理们（men），制定了世界上（shàng）第一个信息安全管（guǎn）理体系标准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大、中（zhōng）、小型组织（zhī）实施（shī）信息（xī）安全（quán）管理的指南。由（yóu）于该标准（zhǔn）采用建议和（hé）指导方式编写，因（yīn）而（ér）不宜作为认证标准（zhǔn）使用。 

· 1998 年，为（wéi）了适应第（dì）三方认证的需要，英（yīng）国又制定了第一个信息安全管理体系认（rèn）证标准（zhǔn） --BS7799-2 ： 1998 《信息安全管理体（tǐ）系规（guī）范》，作为对一个组织的全部或部分信（xìn）息（xī）安全管理体系进行评审认（rèn）证的依据标准（zhǔn）。 

· 1999 年（nián），鉴于（yú）计算机和信息处理技术（shù），尤其是（shì）网络和通（tōng）信（xìn）领（lǐng）域应用的迅速发展，英国又对信息安全管理体系标准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取（qǔ）代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准（zhǔn）进一步强调了组织在商务（wù）工作中所涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一对（duì）配套标准， BS7799-1 ： 1999 为如（rú）何建立和（hé）实施符（fú）合 BS7799-2 ： 1999 标准要求的（de）信息（xī）安全管理体系提供了较佳的应用建议（yì）。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正（zhèng）式采（cǎi）纳成为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信（xìn）息技术—信（xìn）息（xī）安全管理实施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年（nián）底被 ISO/IEC 作为蓝本修订（dìng）后成为可用于认证的（de） ISO/IEC 的《信息（xī）安全（quán）管理体（tǐ）系规范》。 

信息安（ān）全认证是实现信（xìn）息安全目标（biāo）的较佳（jiā）途径（jìng）：

BS7799-2：2002信（xìn）息（xī）安全管理体系规范（fàn）向组织提出了一系列（liè）认证的（de）要求，在（zài）总则中提出（chū）组织应建立并保持一个文件化的信息安全管理体系，阐述被（bèi）保（bǎo）护的资产、组织（zhī）风险管（guǎn）理的渠（qú）道、控制（zhì）目标及控制方式（shì）和需要的保证等级；通过（guò）建立管（guǎn）理架构（gòu）并加（jiā）以实施来达（dá）到识别控（kòng）制目标和（hé）控制方式（shì），并形（xíng）成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针（zhēn）：为信息安全（quán）提供管理指导和支（zhī）持； 

· 组织安全：建立信息安全（quán）架构，保证（zhèng）组织（zhī）的内部管理；被第三方访问或外协时，保障组织的（de）信息安全； 

· 资产的归（guī）类与控制：明确资（zī）产（chǎn）责任，保持对组织（zhī）资（zī）产的适当保护；将信息进行归类，确保信息资产受到适（shì）当程度的保护； 

· 人员安全（quán）：在工（gōng）作说明和资（zī）源方面，减少（shǎo）因人为错误、盗窃、欺诈和（hé）设施误用造成的风（fēng）险；加强用户培训，确保用户（hù）清楚知道信（xìn）息安全的危（wēi）险性和相关事项，以（yǐ）便在他们的（de）日常工（gōng）作中支持组（zǔ）织的安全方针；制定安全事故或故障的反应程（chéng）序（xù），减少由安全（quán）事故（gù）和故障造成的损（sǔn）失，监控安全（quán）事件并（bìng）从这种事件中吸取（qǔ）教（jiāo）训（xùn）； 

· 实物与环境安全：确定（dìng）安全区域，防（fáng）止非授权访问、破坏、干扰商（shāng）务（wù）场所（suǒ）和（hé）信息；通过保障设（shè）备安全，防止（zhǐ）资（zī）产的丢失、破坏、资（zī）产（chǎn）危（wēi）害及商务活动（dòng）的（de）中断；采用通（tōng）用的控制（zhì）方（fāng）式（shì），防（fáng）止信息或信息（xī）处（chù）理设施损（sǔn）坏或失窃； 

· 通信和操作（zuò）方式管理：明确（què）操作程序及其责任，确保信息处理设施（shī）的正确（què）、安（ān）全操作；加强（qiáng）系统策划与验收，减（jiǎn）少系统失效风险；防范（fàn）恶意软件以保持软件和信息的完整性；加（jiā）强内务管理以保持（chí）信息处理（lǐ）和通讯服（fú）务的完整性和有效性通过 ; 加强网络管理确保网络中的信息安全及其辅助设施受到（dào）保护；通过（guò）保护媒体处理的安全 , 防止资产损（sǔn）坏和商务活动（dòng）的中断；加（jiā）强（qiáng）信息和软（ruǎn）件的（de）交换（huàn）的管（guǎn）理（lǐ），防（fáng）止组（zǔ）织间在交换信（xìn）息时发生丢失、更（gèng）改（gǎi）和误用； 

· 访问控制：按照访问控制的商务要求，控制（zhì）信（xìn）息访问；加强用户（hù）访问管理（lǐ），防止（zhǐ）非授权访问信息系统；明确用户职责（zé），防止（zhǐ）非授权的用户访问（wèn）；加强网络访（fǎng）问控制，保（bǎo）护网络（luò）服务程序；加强操（cāo）作系统访问控（kòng）制 , 防止非授权（quán）的计（jì）算机访问；加强应用访问控制，防止非授（shòu）权访问系统（tǒng）中的信息（xī）；通过监（jiān）控系（xì）统的（de）访问与使（shǐ）用，监测（cè）非（fēi）授权（quán）行为；在移动式计算和电传工作方面 , 确保使用移动式计（jì）算和电传工作设施的信息安全； 

· 系统开发与（yǔ）维护：明确系统（tǒng）安全要求，确保安（ān）全性已构（gòu）成信息系统的一部份；加强（qiáng）应用（yòng）系统的安全，防止应用（yòng）系统用户数（shù）据的丢失、被修改或误用；加（jiā）强密码技术控（kòng）制，保护信息的保密（mì）性、可靠性或完整性（xìng）；加强（qiáng）系统（tǒng）文（wén）件的安全，确保 IT 方案（àn）及其支持活动以安全的方式进行；加强开发和支持过程的安（ān）全，确保应用系（xì）统软件（jiàn）和信（xìn）息的安全（quán）； 

· 商（shāng）务连续（xù）性（xìng）管（guǎn）理（lǐ）：防止商务活动的中断（duàn）及保护关键商务过程（chéng）不受重大失（shī）误或灾难事故的影（yǐng）响； 

· 符合：符（fú）合（hé）法律法规要求，避免（miǎn）刑法、民法、有关法令法规或合同约定事宜（yí）及其他安全要求的规定相抵（dǐ）触；加强安全方针和技术符合（hé）性评（píng）审，确（què）保体（tǐ）系按照组织的安全方（fāng）针及标准执行；系统（tǒng）审核（hé）考虑因（yīn）素，使效果较大化 , 并使系统审核（hé）过程的影响（xiǎng）较小（xiǎo）化。 　 

在国际标准 ISO/IEC17799 给出了（le）为实现信息安（ān）全（quán）认（rèn）证所需的各（gè）项措施的详细指导，具有很强的（de）可操作性和指导性。

归根结（jié）底，信息安全工作（zuò）的目的就是在法律、法规、政（zhèng）策（cè）的（de）支（zhī）持与指导下，通（tōng）过采用（yòng）合适的安全技术与（yǔ）安全管理措施（shī），提供安全需求的（de）保证（zhèng），而（ér） BS7799 信息安全认（rèn）证标准正是总和了这些要求。组织（zhī）可以（yǐ）根据自身特点，在（zài） ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信（xìn）息安（ān）全管理（lǐ）体系要求（qiú）》

 ISO27001 ： 2005 《信（xìn）息安全管理体系要求》是关于信息安全管理的标准（zhǔn），是标准（zhǔn）不（bú）是方法（fǎ），达到（dào）这（zhè）些标准的要求（qiú）并（bìng）不难（nán），重要的是（shì）用什（shí）么方法去（qù）实（shí）现。企业应将实施（shī）标准作为改善内部管理的一次（cì）机会，不应该将标准（zhǔn）做（zuò）为一种简单的模式对现有流程运作进行套用，应对现有（yǒu）的组织（zhī）运（yùn）作（zuò）流（liú）程进行（háng）详细分析，有针对性地设计并（bìng）改善现有管（guǎn）理体系（xì）、改善薄（báo）弱（ruò）环节、改善运作流程（chéng）及内部（bù）沟通，并有效地将先进的管理思想融合到具体的实施程序中，才能发挥（huī）标准的真正作（zuò）用。

获（huò）得认证证书不是较（jiào）终（zhōng）目的，建立有责、有序（xù）、有效的信息安全管理体系（xì），提高员工的信息安全意识，不断获取并运用（yòng）先进的管理（lǐ）方（fāng）法和技（jì）术（shù）手段才能使企业的信息安全管理水（shuǐ）平得以（yǐ）持续的发展和提升（shēng）。