信息安全 (Information security): 是指（zhǐ）信息的保密（mì）性 (Confidentiality) 、完整性 (Integrity) 和（hé）可（kě）用性（xìng） (Availability) 的保持（chí）。

•  保密性：为保（bǎo）障信息（xī）仅仅为（wéi）那些被授权使用的人获取。

 信息的（de）保密性是针对信息（xī）被允许访问（ Access ）对象（xiàng）的多少而不同（tóng），所（suǒ）有人（rén）员都可以访问的信息为公开（kāi）信息，需要限制访问的信息一般为敏（mǐn）感（gǎn）信息或（huò）秘密，秘密可以（yǐ）根据（jù）信息的重要性及保密要求分为不同的密级，例如国家根（gēn）据秘密泄露对（duì）国（guó）家经济、安全利益（yì）产生的影响（后果）不同，将国家（jiā）秘密分为秘（mì）密、机密和绝密（mì）三个等级，组织可根据其（qí）信（xìn）息安（ān）全的实际，在符合《国家保密法（fǎ）》的前提（tí）下将其信（xìn）息划分（fèn）为不同的密级；对（duì）于（yú）具（jù）体的（de）信息的保（bǎo）密（mì）性（xìng）有（yǒu）时效性（xìng），如（rú）秘密到期解密等。

 •  完整性：为保护信息及其处理方法的准确性（xìng）和完整性。

信息（xī）完整性一方面是指信息在利用、传输、贮（zhù）存等过（guò）程中不被篡改、丢失、缺损等，另一（yī）方面是指信息处理的方（fāng）法的正确性。不正当的操（cāo）作，如误删除文件，有可能造（zào）成重（chóng）要文件的（de）丢失。

 •  可用性：为保（bǎo）障授权使用人在需要时可以获取信息和（hé）使用相关的资（zī）产。

信息的可用性是指信息及相关的信息资产在授权人（rén）需要（yào）的时候，可（kě）以立（lì）即获（huò）得。例如（rú）通（tōng）信线路中断故障会造成信息（xī）的在一段时间内不可（kě）用，影响正常的商业运作（zuò），这是信息可用性（xìng）的破（pò）坏。不同（tóng）类型的（de）信息及相应资产的信息安全在保密（mì）性、完整性（xìng）及可用性（xìng）方面关注点不同，如组织的专有技（jì）术（shù）、市场营销（xiāo）计划等商业秘（mì）密对组织来讲保守（shǒu）机密尤（yóu）其重要；而（ér）对于（yú）工（gōng）业自动控制系统，控制信息的完整性相对其保密性重要得多（duō）。

为什么需要（yào）信息安（ān）全？

信息、信息处理过程及（jí）对信息（xī）起支持作用的信（xìn）息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可（kě）用性对保持竞争优势、资金（jīn）流动、效益、法律（lǜ）符合性和商业形（xíng）象都是至（zhì）关重要的。然而（ér），越来越多（duō）的组织及其信息系统和网络面临着（zhe）包括（kuò）计算机诈骗、间谍、蓄意破坏（huài）、火灾、水灾（zāi）等大范围的安全（quán）威胁，诸（zhū）如计算（suàn）机病毒、计算机入侵、 Dos 攻击等手（shǒu）段造成（chéng）的信息灾难已（yǐ）变得更（gèng）加（jiā）普（pǔ）遍 , 有（yǒu）计（jì）划而（ér）不易被察觉。组织对信息系统和信息服务的依（yī）赖（lài）意（yì）味着更易受到安全威胁的破（pò）坏，公共（gòng）和私人（rén）网络（luò）的互连及信息（xī）资源的共享增大了实现访问控（kòng）制（zhì）的（de）难度。许多信息系统本身就（jiù）不是按照安全系统的要求来设计的，所以（yǐ）仅依靠技术手段（duàn）来实（shí）现信息安全有其局限性，所以信息安全的实现（xiàn）须得到管理和程序控制的适当支（zhī）持（chí）。确定应采取哪（nǎ）些（xiē）控（kòng）制方式（shì）则需要周密计划，并注意细（xì）节。信（xìn）息安全管理至少需（xū）要（yào）组织中的所有雇员的（de）参与，此外还需要供应商、顾客或股东的参与和信息安（ān）全的专家建议。在信（xìn）息系统设计阶段就将安全要求和控制一体化考虑（lǜ），则成本（běn）会更低、效率会更高。

 BS7799的信息管理过程：

①确定信息（xī）安全管（guǎn）理（lǐ）方针（zhēn）。

②确定 ISMS( 信息（xī）安全管理（lǐ）体系) 的（de）范围（wéi）

③进行风险分析。

④选择控制目标并进行控制（zhì）。

⑤建立（lì）业务持续计划。

⑥建（jiàn）立（lì）并（bìng）实施安全管理体系。

 建立信息安全（quán）管理（lǐ）体系的（de）作用：

 任何组织，不论它在信息（xī）技术方面如何努力以及采纳如（rú）何新的信息安全技术，实际上（shàng）在信息安全管理方面都还（hái）存在漏洞，例如：

· 缺少信息安全管（guǎn）理论（lùn）坛，安全导向（xiàng）不明确，管理支持（chí）不明显； 

· 缺少跨部门（mén）的（de）信息（xī）安（ān）全协（xié）调机制； 

· 保护（hù）特（tè）定资产以（yǐ）及完成特定（dìng）安全过（guò）程（chéng）的职责还不明确； 

· 雇员信（xìn）息安全（quán）意识薄弱，缺少防范意识，外来人员很（hěn）容（róng）易直接进入生产和（hé）工作场所； 

· 组（zǔ）织信息系统管理制（zhì）度（dù）不（bú）够健全； 

· 组织信息系（xì）统主机房安全（quán）存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼（lóu）等（děng）； 

· 组织信息（xī）系统备份设备仍有欠（qiàn）缺； 

· 组织（zhī）信（xìn）息（xī）系统安全防范技术投（tóu）入欠缺； 

· 软件知识产权保护（hù）欠（qiàn）缺； 

· 计算机房、办公场所等物理防（fáng）范措施欠（qiàn）缺； 

· 档案、记录等（děng）缺（quē）少可靠贮存场所（suǒ）； 

· 缺少一（yī）旦发生意外时的保（bǎo）证生产经营连续性的措（cuò）施（shī）和计（jì）划； 

        ……等（děng）等（děng）。

为什么要建立和实施ISO27001信息安全管理体系（xì）认证（2）

其（qí）实，组（zǔ）织可以参（cān）照信息安全管理模型，按照先进的（de）信息安全管理标准 BS7799 标准建立组织完整的信息（xī）安（ān）全管理体系并实施与（yǔ）保持（chí），达到动态的、系统的、全员参与（yǔ）、制（zhì）度化的、以预防为主的信（xìn）息（xī）安全管理方式，用较低的成本，达（dá）到可接受的信息安全水平，就可以从根本上保证业务的连续性（xìng）。组（zǔ）织建立、实施与保持信息安全（quán）管（guǎn）理体系将会产生如下（xià）作（zuò）用（yòng）：

· 强化（huà）员工（gōng）的信息安全意识，规范组织信息（xī）安（ān）全行为（wéi）； 

· 对组织的关键信息资产进行全面（miàn）系（xì）统的保护，维持竞争优势； 

· 在信息系（xì）统受到侵袭（xí）时，确保业务持续开展并将损失降到较（jiào）低程度（dù）； 

· 使组织的（de）生意伙伴和客户对组织（zhī）充满信（xìn）心； 

· 如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的名度与信任度； 

· 促使管理层坚（jiān）持贯（guàn）彻信息安全保障体系。 

BS7799标准概述：

· 1995 年，英国贸工部根据英国国内企业对信息（xī）安全日（rì）益高涨的呼声（shēng），组织大（dà）企业的信息安全经理（lǐ）们（men），制定了世界上第（dì）一个信息安全管理体（tǐ）系标（biāo）准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大、中（zhōng）、小型组织实施信（xìn）息（xī）安全管理的（de）指南。由于该（gāi）标准采用建议和指导方式编（biān）写，因而不宜作为认证标准使用。 

· 1998 年，为了适应第（dì）三方认证的需（xū）要，英国又（yòu）制（zhì）定了第一个信息安（ān）全（quán）管理体（tǐ）系认证标准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作为对一个组织（zhī）的全部或部分信息（xī）安（ān）全管（guǎn）理体系进行评审认（rèn）证（zhèng）的（de）依据标准。 

· 1999 年，鉴（jiàn）于计（jì）算机和信息（xī）处理技术，尤其是网络和通信领域应用（yòng）的迅速（sù）发展，英国又对信息安全管理（lǐ）体系标准进行了修订。修订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新（xīn）修订的 1999 版标准进一步强调了（le）组织在（zài）商务工作中所涉及（jí）的信（xìn）息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对（duì）配套标（biāo）准， BS7799-1 ： 1999 为如何建立和实（shí）施（shī）符合 BS7799-2 ： 1999 标准要求（qiú）的信息安全管理体系提供了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经（jīng）被 ISO/IEC 正（zhèng）式采纳成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全（quán）管理（lǐ）实施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本修订（dìng）后（hòu）成为可用于认（rèn）证的 ISO/IEC 的《信息安全管理体系规范》。 

信息安全（quán）认证（zhèng）是实现信息安全目标的较佳途径：

BS7799-2：2002信息安（ān）全（quán）管理体系规范（fàn）向（xiàng）组织提出了一系列（liè）认证的要求，在总（zǒng）则中提出（chū）组织应建立并保持一个文件化的信（xìn）息安全管（guǎn）理体系，阐述被保护的资产、组织（zhī）风险管理的渠（qú）道、控制目标（biāo）及（jí）控制方式和需要的保（bǎo）证（zhèng）等级；通过建立管（guǎn）理架构并加以实施来达到识别控制目标和控制方式，并形成文件（jiàn）和记录。

BS7799-2：2002的控制（zhì）细则包括（kuò）10个方面： 　

· 安全方针：为信息安（ān）全提供管理（lǐ）指导和支持； 

· 组（zǔ）织安全：建立（lì）信息安全架构，保（bǎo）证组织（zhī）的内部管理（lǐ）；被第（dì）三（sān）方访问或外协时，保障（zhàng）组织的信息安全（quán）； 

· 资产的归类（lèi）与控制：明确资（zī）产责任，保持对组织资产的适当（dāng）保护；将信息进行归类，确（què）保信息资产受到适（shì）当程度的保护； 

· 人员（yuán）安全：在工作说明和资源方面（miàn），减（jiǎn）少因人为错误、盗窃、欺诈和设（shè）施误用造成的风险；加强用户培训，确保用户清楚知道信息安全的（de）危险性和相（xiàng）关事（shì）项（xiàng），以便在（zài）他们的日常（cháng）工（gōng）作中支持（chí）组织的安（ān）全方针；制定安全（quán）事故或故（gù）障的反应程序，减少由（yóu）安（ān）全事故和故障造成的损（sǔn）失，监控安（ān）全（quán）事件并从这种事件中吸取教训； 

· 实（shí）物与环境安全：确定安全区域，防止非（fēi）授权（quán）访问、破坏、干扰商务场所和信（xìn）息；通过保障设（shè）备安全，防止资产（chǎn）的（de）丢失、破（pò）坏、资产危害及（jí）商务活动的（de）中断；采（cǎi）用通用的（de）控（kòng）制（zhì）方式（shì），防止信（xìn）息或信息处理设施损坏（huài）或失（shī）窃（qiè）； 

· 通信（xìn）和操作方式管（guǎn）理：明确操作程序（xù）及其责任，确保信息（xī）处（chù）理设（shè）施的正确、安全操（cāo）作；加强系统策划与验收，减（jiǎn）少系统失效风险；防范恶意软件以保持软件和信（xìn）息的完整性；加（jiā）强内务管理以保持信息处理和通讯服（fú）务的（de）完整性和有效性通过 ; 加（jiā）强（qiáng）网络管理确保网络中的信（xìn）息安全及其辅助设施受到保（bǎo）护；通过保（bǎo）护媒体处理的（de）安（ān）全 , 防止资产损坏和商务活动的中断；加（jiā）强信息和（hé）软（ruǎn）件的交换（huàn）的管理，防止组织间（jiān）在交换信（xìn）息时（shí）发生丢失、更改和误（wù）用； 

· 访问控制：按照访问控制的商务要求，控制信息访（fǎng）问；加强用户（hù）访问管理，防止非授权访问信息系统；明（míng）确用户职责，防止（zhǐ）非授权（quán）的用户访（fǎng）问；加强网络访问控制，保护网（wǎng）络服（fú）务程序；加强操作系（xì）统访问控（kòng）制（zhì） , 防止非授权的计算机访（fǎng）问；加强应用（yòng）访（fǎng）问控制，防（fáng）止非授权访问系统中的信息；通过（guò）监控系统的（de）访问（wèn）与使用，监测非授（shòu）权行为；在移动式计算（suàn）和电传工作（zuò）方面 , 确保使用（yòng）移动式（shì）计算和电传工作设施的信息安全； 

· 系统开发与维护：明确系（xì）统安全（quán）要（yào）求，确保安（ān）全性已构成（chéng）信息系统的一部（bù）份；加强应用（yòng）系统的安全，防止应用系统用户数据的丢失、被修（xiū）改或（huò）误用；加强密码（mǎ）技术控（kòng）制（zhì），保（bǎo）护信息（xī）的（de）保密性、可靠（kào）性或（huò）完整性（xìng）；加强系统（tǒng）文件（jiàn）的安全（quán），确保 IT 方案及其支持活动（dòng）以安全的方式进行；加强开发（fā）和（hé）支持过程的安全，确保应用系（xì）统软件和信息的安（ān）全； 

· 商务连续性管理：防止商务活动的中断及保（bǎo）护关键商务过程不受重大失误或灾难事（shì）故的影响； 

· 符合：符合法律（lǜ）法规要求，避（bì）免刑法、民法、有（yǒu）关（guān）法（fǎ）令法规或（huò）合同约定事（shì）宜及（jí）其他安全（quán）要（yào）求的规定相抵触；加强安全方针和技术符合（hé）性（xìng）评审，确保体系（xì）按照组织的安全方针及标准执行（háng）；系统审（shěn）核考虑因（yīn）素，使效果较大化 , 并使系（xì）统审核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为（wéi）实现信息安全认（rèn）证（zhèng）所需的各（gè）项措施的（de）详细指导，具有很强的可操作性和指导性。

归根结（jié）底，信息（xī）安（ān）全工作的目的就是在（zài）法律、法规（guī）、政策的支持与指导下，通（tōng）过采用（yòng）合适的安全技术与安全（quán）管理（lǐ）措施，提（tí）供安全需（xū）求（qiú）的保证，而（ér） BS7799 信息安全认证标（biāo）准正是总和了这些要求。组织可以（yǐ）根据自身特点，在 ISO/IEC 17799 指导下（xià），实现信息安全（quán）的要求（qiú）。

 ISO27001：2005 《信（xìn）息安全管理体系要求（qiú）》

 ISO27001 ： 2005 《信息安（ān）全管理（lǐ）体系要（yào）求》是关于信（xìn）息安全管理（lǐ）的标准，是（shì）标准不是方法（fǎ），达到这些标（biāo）准（zhǔn）的要（yào）求并不难，重要的是用什（shí）么方（fāng）法去实现。企（qǐ）业应将实（shí）施标准作为改（gǎi）善内部管理的一（yī）次（cì）机会，不应（yīng）该将标准做为一种简单的模式对现有流程运作（zuò）进行套用，应对现有的组织运（yùn）作流程进（jìn）行详细分析（xī），有针对（duì）性地设计并改善现有管（guǎn）理体系（xì）、改善薄弱环节、改善运作流（liú）程及内部沟通，并有效（xiào）地将（jiāng）先进的管（guǎn）理思想融合到具体的（de）实施程序中，才能发挥标（biāo）准的真正作用（yòng）。

获得认证证书不是（shì）较终目的，建立（lì）有责、有序、有效的信息安（ān）全管理体系，提高（gāo）员（yuán）工的信（xìn）息安全意识，不断（duàn）获取并运用先进（jìn）的（de）管（guǎn）理方法和技术手段才能使企业（yè）的信息安全管理水（shuǐ）平得以持续的发展和提（tí）升。