信息安全（quán） (Information security): 是指信息的保（bǎo）密性 (Confidentiality) 、完整性 (Integrity) 和（hé）可用（yòng）性 (Availability) 的保持。

•  保密性：为保障信息仅仅为（wéi）那些被（bèi）授权使用的人获取。

 信息的保密（mì）性是针对信（xìn）息被允许访问（ Access ）对象的多少而不同，所（suǒ）有人员（yuán）都可以访问的（de）信息为公开信息，需要（yào）限制访问的信息一般为（wéi）敏感信（xìn）息或（huò）秘密，秘密可以根据信息（xī）的重（chóng）要性及保密要求分为不同的密级，例（lì）如国家根据秘密泄露对国（guó）家经济、安全利（lì）益产生（shēng）的影（yǐng）响（后（hòu）果）不同，将国家秘（mì）密分为秘密、机密和绝密三个等级，组织可根据（jù）其信息安全的实际，在（zài）符（fú）合《国（guó）家保密法》的前提下将其（qí）信息划分为不同的密级；对于具（jù）体的信息（xī）的保（bǎo）密性有时效性，如秘密到期解密等。

 •  完整（zhěng）性：为保护信（xìn）息及其处理方法的（de）准确性和完整性。

信息完整性一方面是指信息在利用、传（chuán）输、贮（zhù）存等过程中不被篡改、丢失、缺损等，另一（yī）方面是（shì）指信息处理的方法的正确性（xìng）。不（bú）正当（dāng）的（de）操作，如误（wù）删（shān）除文件，有可能造成重（chóng）要文件的（de）丢失。

 •  可用性：为保障授权使用人在需要时可（kě）以（yǐ）获取信息（xī）和（hé）使用相关的资产。

信息的可用性是（shì）指信息及相关（guān）的信息资（zī）产在（zài）授权人需要的时（shí）候（hòu），可以立即获得。例（lì）如通信线路中断（duàn）故（gù）障会造成信息的（de）在一段（duàn）时间内不可用，影响正常（cháng）的商业运作（zuò），这是（shì）信（xìn）息（xī）可用性的破（pò）坏。不同类型的信息及相（xiàng）应资产的信息安全（quán）在保密性、完整性及（jí）可用性方面关（guān）注点不同，如（rú）组织（zhī）的专有技术、市场营销计（jì）划等商业秘密（mì）对（duì）组（zǔ）织来（lái）讲保（bǎo）守机密尤其重要（yào）；而对于工业自动控制系统，控制信息的（de）完整性（xìng）相对其保密性重要得多。

为（wéi）什么需要信（xìn）息安全？

信息、信息处理过程及对信息起支（zhī）持作用的信息系统和信（xìn）息网络（luò）都是重要的商务资产。信息的保密性、完整性和可用性对（duì）保持（chí）竞争优势、资金流动、效益（yì）、法律符合性和商业形象（xiàng）都是至关重要（yào）的。然（rán）而，越来越多（duō）的组织及其信息系统（tǒng）和网络面临着包（bāo）括计算机诈骗、间（jiān）谍、蓄（xù）意破坏、火灾、水灾等大范围（wéi）的安全威胁，诸如计算机病毒、计（jì）算机入侵（qīn）、 Dos 攻击等手段造成的信（xìn）息灾难已变得更加普遍 , 有计（jì）划而不（bú）易（yì）被（bèi）察觉。组织对信（xìn）息（xī）系统和信息服务的依赖意味（wèi）着更易受到（dào）安全（quán）威胁的破坏，公共和（hé）私人网络的（de）互连及信息资源（yuán）的共享增大了实（shí）现访问控（kòng）制的难度（dù）。许多信息（xī）系统本身就不是按照安全系统的要求来设计的，所（suǒ）以仅（jǐn）依靠（kào）技（jì）术手段来实现信息（xī）安全有其局限性（xìng），所以信息安全的实现须得到管理和程序（xù）控制的适（shì）当支持。确定应采取哪些控制方式则需要周（zhōu）密计（jì）划，并（bìng）注意细节。信息安（ān）全管理至少需要组织中的所有雇员的参与，此外还需（xū）要供应商、顾客（kè）或股东（dōng）的参与和信息安（ān）全的专家建议。在信息系（xì）统（tǒng）设计（jì）阶（jiē）段就将安全（quán）要求和控制一体（tǐ）化（huà）考虑，则成本会更（gèng）低、效（xiào）率会更高。

 BS7799的信息管理过程：

①确定（dìng）信息安（ān）全管理方针。

②确定 ISMS( 信（xìn）息安全管理体（tǐ）系（xì）) 的范围

③进行风（fēng）险（xiǎn）分析。

④选择控制目标并（bìng）进行控制。

⑤建立业务（wù）持续计划（huá）。

⑥建立并（bìng）实施安全管（guǎn）理体系。

 建立信息（xī）安全管理体系的作用：

 任何组织，不论它在信（xìn）息技术方面如何努力以及采纳如何新的信息安全技（jì）术，实际上在信息安全管理方面都还存在漏（lòu）洞，例如：

· 缺少（shǎo）信（xìn）息安全（quán）管（guǎn）理论（lùn）坛，安全（quán）导向不明确，管理（lǐ）支持不明显； 

· 缺少跨部门的信（xìn）息安全协调机制； 

· 保护特定（dìng）资产以及完成特定安全过程的职（zhí）责还不明确； 

· 雇员信（xìn）息安全意识薄弱（ruò），缺少防范（fàn）意识（shí），外（wài）来（lái）人员（yuán）很容易（yì）直接进入生产和工作（zuò）场所（suǒ）； 

· 组织信息（xī）系统管理制度不够（gòu）健（jiàn）全； 

· 组（zǔ）织信息系统主机房安全存在隐患，如：防（fáng）火（huǒ）设施存在问题，与危险（xiǎn）品仓库同处一幢办公（gōng）楼等； 

· 组织信息系统（tǒng）备（bèi）份（fèn）设备仍有欠缺； 

· 组织信息系统（tǒng）安（ān）全防范技术投（tóu）入欠缺； 

· 软件知识产权保护欠缺（quē）； 

· 计算机房（fáng）、办公（gōng）场所（suǒ）等物理防（fáng）范措施欠缺； 

· 档案（àn）、记录等缺（quē）少可靠贮存场所； 

· 缺（quē）少一旦（dàn）发生意外时的保证生产经（jīng）营连续性的措（cuò）施（shī）和计划； 

        ……等等。

为（wéi）什（shí）么（me）要建立和实（shí）施ISO27001信息安全管理体（tǐ）系（xì）认证（2）

其实，组织可以参照信息（xī）安全管理模型（xíng），按照先（xiān）进的信息安（ān）全管理（lǐ）标准 BS7799 标（biāo）准建立组织完（wán）整的信息安全（quán）管理体系并实施与（yǔ）保持，达到动态的、系（xì）统的、全员参与、制度（dù）化的、以预防为主（zhǔ）的信（xìn）息安全管理方式，用（yòng）较低的成本（běn），达到可接受的信息安全水（shuǐ）平（píng），就可以（yǐ）从根本上保证（zhèng）业务的连续性。组织建立、实施与保持信息（xī）安全（quán）管理体系（xì）将（jiāng）会产生如下作用：

· 强化员工（gōng）的信息安全意识（shí），规（guī）范组织信息安全行为； 

· 对组织的（de）关键信息（xī）资（zī）产进行全（quán）面系统的保护，维（wéi）持（chí）竞争优势； 

· 在信息系（xì）统（tǒng）受到侵袭（xí）时，确（què）保业（yè）务持续开展并将损失降到较低程度； 

· 使（shǐ）组织的生意伙伴和客户对组织（zhī）充（chōng）满信心； 

· 如果通过体系认证，表明体系符合标准，证明（míng）组织有能力（lì）保障（zhàng）重要信息，提高组织的名（míng）度与信（xìn）任度； 

· 促使管理层坚持贯彻信（xìn）息（xī）安全（quán）保（bǎo）障体系。 

BS7799标准（zhǔn）概述：

· 1995 年，英国（guó）贸工部根（gēn）据英国国内企业对信息安全（quán）日益高涨的呼声，组织（zhī）大企业的（de）信（xìn）息（xī）安全经理们（men），制定了世界上第一个信息安全管理体系标准 BS7799-1 ： 1995 《信息安全（quán）管（guǎn）理实施规（guī）则》，作为（wéi）工商（shāng）业和（hé）大（dà）、中、小（xiǎo）型组织实施信息安全管理的指南。由于该标准采用建议和（hé）指导方式编写，因而不宜作为（wéi）认证标准使用。 

· 1998 年，为了（le）适（shì）应（yīng）第（dì）三（sān）方认证的需要，英国又（yòu）制定了第一个信息安（ān）全（quán）管理体系认（rèn）证标准 --BS7799-2 ： 1998 《信息安全管理体系（xì）规范》，作为对一（yī）个组织的全部或部分（fèn）信（xìn）息安全管理体系进行（háng）评审认证的（de）依据标准。 

· 1999 年，鉴于（yú）计（jì）算机和信息处理技术，尤其是网络（luò）和通信领（lǐng）域应用（yòng）的迅速发（fā）展，英国（guó）又对信（xìn）息安全（quán）管理体系标准进（jìn）行了修订。修（xiū）订（dìng）后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调了组织在商（shāng）务（wù）工作中所涉（shè）及的信息安全和信息（xī）安全（quán）责任。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建立和实施符合 BS7799-2 ： 1999 标准要求（qiú）的信息安（ān）全管理体系提供了较佳（jiā）的应（yīng）用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正（zhèng）式采纳成为国际（jì）标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技术（shù）—信息（xī）安全管（guǎn）理实施规则》，另外， BS7799-2 ： 1999 也即（jí）将于 2002 年底被（bèi） ISO/IEC 作为蓝本修订后成为可用（yòng）于认证的 ISO/IEC 的《信息安（ān）全管理体系（xì）规（guī）范》。 

信息安全认（rèn）证是实现信息安（ān）全目标的较佳途径：

BS7799-2：2002信息安全（quán）管（guǎn）理体（tǐ）系（xì）规（guī）范向组（zǔ）织提出了（le）一系列认证的（de）要求，在总则中提出组织应建（jiàn）立（lì）并保持一个文（wén）件（jiàn）化（huà）的信息安全管理（lǐ）体系，阐（chǎn）述被（bèi）保护（hù）的资（zī）产、组织风险（xiǎn）管理（lǐ）的渠（qú）道、控制目标及控制方（fāng）式和需（xū）要（yào）的保证（zhèng）等（děng）级；通过建立（lì）管理架构并（bìng）加（jiā）以实施来达到识别控制目（mù）标和控（kòng）制（zhì）方（fāng）式，并形成（chéng）文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针（zhēn）：为（wéi）信息安全提供管理指（zhǐ）导（dǎo）和支持； 

· 组织安全：建立信息安全架（jià）构，保证组织的内部管理（lǐ）；被第（dì）三方（fāng）访问或（huò）外协时，保障组织的信息（xī）安全； 

· 资产的归类与（yǔ）控制：明确资产责任，保持对组织资产的适（shì）当保护；将信息（xī）进行归类（lèi），确保信（xìn）息资产受到适当（dāng）程度的保护； 

· 人员安全：在（zài）工（gōng）作说（shuō）明和资（zī）源方面（miàn），减（jiǎn）少因人（rén）为错误、盗窃、欺诈和（hé）设施误用造成（chéng）的风（fēng）险；加强用户培训，确保用（yòng）户清楚知（zhī）道信息安全的危（wēi）险性（xìng）和相（xiàng）关事项，以便在他们的日常工作中支持组织的安（ān）全方针；制定安（ān）全事故或故障的反（fǎn）应程序，减少由安全事故和（hé）故障造（zào）成（chéng）的损失，监（jiān）控安全事件并从这种事件中吸取教训； 

· 实物（wù）与环境安全：确定安（ān）全区（qū）域，防止（zhǐ）非授权（quán）访问、破坏、干扰商务场所和信息（xī）；通过保障设备安全，防止资产的丢失、破坏、资产危害（hài）及商务活动的中断；采用通用的控制方式，防止（zhǐ）信息或信息（xī）处理设施损坏或失窃； 

· 通信和操作方（fāng）式管理：明确（què）操作程序（xù）及其责任，确保信（xìn）息处理设（shè）施的正确、安全操作；加强系统策划与验收，减少系统（tǒng）失效风险；防范恶意软件以保持软件和信息的完整性（xìng）；加强内务管理以保（bǎo）持信息（xī）处理（lǐ）和通讯服（fú）务（wù）的完整性和有效（xiào）性通过 ; 加（jiā）强网络管理（lǐ）确保网络中的信息安全及其（qí）辅助设施受到保护；通过（guò）保护媒体（tǐ）处理的安全（quán） , 防（fáng）止（zhǐ）资产损坏和商（shāng）务活动的中断；加强（qiáng）信（xìn）息（xī）和软件的交换的管理，防止组织间在交换（huàn）信（xìn）息时发生丢失、更（gèng）改（gǎi）和误（wù）用； 

· 访问控制：按照访问控制的商务要（yào）求，控制信息访问；加强（qiáng）用户访问管（guǎn）理，防止非授权访问信（xìn）息系统（tǒng）；明确（què）用户职责（zé），防止非授权的用户访问；加强（qiáng）网络访（fǎng）问控制，保（bǎo）护网络服务程（chéng）序；加强（qiáng）操作系统访（fǎng）问控（kòng）制 , 防（fáng）止非授权的计算机访问；加强应（yīng）用访问（wèn）控制，防止非授权访问（wèn）系统中的信息；通过监控系统的访问与使用，监测（cè）非授权行为；在移动式计（jì）算和电传工（gōng）作方面 , 确保使用（yòng）移动（dòng）式计（jì）算和电（diàn）传工作设施的信息安全； 

· 系统开发（fā）与维护（hù）：明（míng）确系统安全要求，确保安全性已构成信息（xī）系统的一（yī）部（bù）份；加强应用系统的安全，防止应用系统用户数据的丢失、被修改或误（wù）用（yòng）；加强密码技术控制（zhì），保护信息的保密性（xìng）、可靠性或（huò）完（wán）整性；加强系统（tǒng）文件（jiàn）的安全，确（què）保 IT 方案及（jí）其支持活动以安（ān）全的方式进行；加强（qiáng）开发和（hé）支持过程的安全，确保应用系统（tǒng）软（ruǎn）件和信息的安全； 

· 商务连（lián）续性（xìng）管理：防止商务活动的中断及保护关键商务（wù）过程不（bú）受重大失误或灾（zāi）难事故的影响（xiǎng）； 

· 符合：符合法律（lǜ）法规要求，避免刑法、民法、有关法（fǎ）令法规或合同约定事宜及其（qí）他安全要求的规定相抵触（chù）；加强安全方针和技术符（fú）合（hé）性（xìng）评审，确保体系按照组（zǔ）织（zhī）的安全方针及标准执行；系统审核考虑因素，使效果较（jiào）大化 , 并使系统审核过程（chéng）的影响较小（xiǎo）化。 　 

在国际（jì）标准 ISO/IEC17799 给出了为实现信息安全认证所需的各项措（cuò）施的详细指（zhǐ）导（dǎo），具有很强的可操作（zuò）性和指导性。

归根结（jié）底（dǐ），信息安全工作的目的就是在法律、法规（guī）、政策的支（zhī）持与指导（dǎo）下（xià），通过采用合（hé）适的安（ān）全（quán）技术（shù）与安（ān）全管理（lǐ）措施（shī），提供安全（quán）需求的保（bǎo）证（zhèng），而 BS7799 信息安全认（rèn）证标（biāo）准正是总和了这些要求。组织可以根据自身特点，在（zài） ISO/IEC 17799 指导下（xià），实现（xiàn）信息安全（quán）的要求（qiú）。

 ISO27001：2005 《信（xìn）息安全管理（lǐ）体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管（guǎn）理体系要求》是关于信息（xī）安全管理的（de）标准，是标（biāo）准不是方（fāng）法（fǎ），达到这些（xiē）标准的要求并不难，重要的是用什么方法（fǎ）去实现。企业应将实施（shī）标准（zhǔn）作为改善内部管理的一次机（jī）会，不应该（gāi）将标准做为一种简（jiǎn）单的（de）模（mó）式对（duì）现（xiàn）有流（liú）程（chéng）运作进行（háng）套用，应对现（xiàn）有的组织（zhī）运作流程（chéng）进行详细分析，有针对（duì）性地设计并改（gǎi）善（shàn）现有管理体系、改善（shàn）薄弱环节、改善运作（zuò）流程及内部沟通，并有效（xiào）地将先进的（de）管理思想融合到具体的实施程序中，才能（néng）发（fā）挥（huī）标准（zhǔn）的真正（zhèng）作用。

获得认证证书（shū）不是较终目的，建立有责、有序、有效的信息安（ān）全管理体系，提高员工的（de）信息安全意识，不断获取并运用先（xiān）进（jìn）的管（guǎn）理方法和技（jì）术手段（duàn）才能（néng）使企业的信息安全（quán）管（guǎn）理（lǐ）水平得以持续的发展和提升（shēng）。