信息安全（quán） (Information security): 是指信息（xī）的保密性 (Confidentiality) 、完整性（xìng） (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为保障（zhàng）信息仅仅为那些被授权使用的人获取（qǔ）。

 信（xìn）息的保密性是针对信息（xī）被允许（xǔ）访问（wèn）（ Access ）对象的多少而不同，所有人员都可以访问的信（xìn）息为公开（kāi）信息，需要限制访问的信息一般为敏感（gǎn）信息或秘密，秘密可以根据（jù）信息的重要性及保密要（yào）求分为（wéi）不同的密级，例如（rú）国家（jiā）根据秘密泄露对国家经济、安全利（lì）益产生的影响（后果）不同（tóng），将（jiāng）国家秘密分为秘密、机密和绝（jué）密三个（gè）等级，组织可根据其信息（xī）安（ān）全（quán）的（de）实际（jì），在（zài）符合《国家（jiā）保密（mì）法（fǎ）》的前提下将其信（xìn）息划分为不同的密级；对于具（jù）体的信息的保密性有时（shí）效（xiào）性，如秘密到（dào）期（qī）解密等。

 •  完整性：为保护信息（xī）及（jí）其处理（lǐ）方法的准确性和完（wán）整性。

信息完整性一方面（miàn）是指信息（xī）在利用、传输、贮存（cún）等过（guò）程中不被篡改、丢失、缺损等，另一方面是指信息处理的方法的正确性。不正当的操作，如误删除文（wén）件，有可能造成（chéng）重（chóng）要文件（jiàn）的（de）丢失。

 •  可用性：为保（bǎo）障授（shòu）权使用人在需要（yào）时可以获取信息和使用（yòng）相关的（de）资产。

信（xìn）息的可用（yòng）性是（shì）指信息及相（xiàng）关的信息（xī）资产在授权人需要（yào）的时候，可以立（lì）即获得（dé）。例如通信线路中断故障会造成信息的在一（yī）段时间内不可用，影响正常的商业运作，这（zhè）是信（xìn）息（xī）可用性的破坏。不（bú）同类型的信息及（jí）相应资（zī）产的信息安全（quán）在保密性、完整（zhěng）性（xìng）及可用性方面关注点不同，如组织（zhī）的专有技术、市场营销（xiāo）计划等商业秘密对组织来讲保守机密尤其重要；而对于（yú）工业自动控制系统，控制信息的完整性（xìng）相对其保密性重要得（dé）多。

为（wéi）什么需要信（xìn）息安（ān）全？

信息、信息处理（lǐ）过程及对（duì）信息起支（zhī）持作用的（de）信（xìn）息系统和信息（xī）网（wǎng）络都是重（chóng）要的商（shāng）务资产。信息的保密（mì）性、完整性和可用性对保持竞争优势、资金流动、效益、法律符（fú）合性（xìng）和商业形象都是至关重要的。然而，越来越多的组织及其信息系统（tǒng）和网络面临着包括（kuò）计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围（wéi）的（de）安全威（wēi）胁，诸如计算机（jī）病（bìng）毒、计算机入侵（qīn）、 Dos 攻击（jī）等手（shǒu）段造成的信息灾难（nán）已变得更加（jiā）普遍 , 有计划而（ér）不易被察（chá）觉。组织（zhī）对信（xìn）息（xī）系统（tǒng）和信息服（fú）务的（de）依赖意味着更易（yì）受到安全威胁的（de）破坏，公（gōng）共和私人（rén）网络的互连及信息（xī）资源（yuán）的共享增大了（le）实现（xiàn）访问控制的难度。许多信息系统本身就不（bú）是按照安（ān）全系（xì）统的要求来设计的，所以仅依（yī）靠技术手段来实（shí）现信（xìn）息安全有其局限性，所（suǒ）以信息安全的实（shí）现须得到管（guǎn）理和程序（xù）控（kòng）制的（de）适当支（zhī）持（chí）。确定应采（cǎi）取哪些控制方式则需要周密计划（huá），并注意细节。信息安全管理至少需（xū）要组（zǔ）织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将（jiāng）安（ān）全（quán）要（yào）求（qiú）和控制（zhì）一（yī）体化考虑（lǜ），则成本（běn）会更低、效率会（huì）更（gèng）高。

 BS7799的信息（xī）管理过程（chéng）：

①确定信息安全管理方针（zhēn）。

②确定（dìng） ISMS( 信息安（ān）全（quán）管理体系) 的（de）范围（wéi）

③进行风险分（fèn）析。

④选择控制目标并进行控制。

⑤建立业（yè）务（wù）持续计划（huá）。

⑥建立并（bìng）实施安全管理体系。

 建立信息安全管理体系（xì）的（de）作用：

 任何组织，不论它在信息技术方面如何努力（lì）以及采纳（nà）如何新的信（xìn）息（xī）安全技术，实际上在（zài）信息安（ān）全（quán）管理方面都还存在漏（lòu）洞，例如：

· 缺少（shǎo）信息安全管理论坛，安全导向（xiàng）不明确（què），管理（lǐ）支持不明显； 

· 缺少跨部门的信息安全协调（diào）机制； 

· 保护特定资产以（yǐ）及完成（chéng）特定安全（quán）过程的职责还不（bú）明确； 

· 雇员信息安全意（yì）识薄弱，缺少（shǎo）防范意识，外来人员很容易直接进入生产和工作场所； 

· 组织信息系（xì）统管（guǎn）理（lǐ）制（zhì）度（dù）不够健全； 

· 组织（zhī）信息系统主机房安（ān）全存在隐患，如：防火设施存在问题，与危险（xiǎn）品仓库同处（chù）一（yī）幢办公楼（lóu）等； 

· 组织信息系统备（bèi）份设备仍有欠缺； 

· 组织（zhī）信息系统安全防范技（jì）术（shù）投入欠（qiàn）缺； 

· 软件知识产（chǎn）权（quán）保护欠（qiàn）缺（quē）； 

· 计算（suàn）机房、办公场所等物理防范措施欠（qiàn）缺； 

· 档（dàng）案、记录等缺少可（kě）靠贮（zhù）存场（chǎng）所； 

· 缺少一（yī）旦发生意（yì）外时（shí）的保证生产经营（yíng）连续性的措（cuò）施和计划（huá）； 

        ……等等。

为什么要建立和（hé）实施ISO27001信（xìn）息安全管理（lǐ）体系认证（2）

其实（shí），组（zǔ）织可以参照信息（xī）安全管理模型（xíng），按（àn）照先进的信（xìn）息安（ān）全（quán）管理标准 BS7799 标准建立组织（zhī）完整的信息（xī）安全管理体（tǐ）系并实施与（yǔ）保（bǎo）持（chí），达到动态的（de）、系统的、全（quán）员（yuán）参与、制度化的、以预防为主的信息（xī）安全管理方式，用（yòng）较低（dī）的（de）成本，达到可接受（shòu）的信（xìn）息（xī）安全（quán）水平，就可以从根本上保证业务的连续性（xìng）。组织建立、实施与保（bǎo）持信（xìn）息（xī）安全管理体系将会产生如下作用：

· 强化员工的信息安全意识，规范（fàn）组织信息安全行为（wéi）； 

· 对组织的关键信息（xī）资产进行全面系统的保（bǎo）护，维持竞争（zhēng）优势； 

· 在信息（xī）系（xì）统受（shòu）到（dào）侵（qīn）袭时（shí），确保业务持续开展并将损失降（jiàng）到（dào）较（jiào）低程度； 

· 使组织（zhī）的生意（yì）伙伴（bàn）和客户对组（zǔ）织充满信心； 

· 如果（guǒ）通（tōng）过（guò）体系（xì）认证，表明体（tǐ）系符合（hé）标准，证明组织有（yǒu）能力保障重（chóng）要信息（xī），提（tí）高组织（zhī）的（de）名度与信任度； 

· 促使管理（lǐ）层坚持贯彻信息安（ān）全（quán）保障体（tǐ）系（xì）。 

BS7799标准概述：

· 1995 年，英国贸（mào）工部根（gēn）据英国国（guó）内（nèi）企业对信息安全日益（yì）高涨的呼声（shēng），组织大（dà）企（qǐ）业的信息安全经理（lǐ）们，制定了世界上第一个（gè）信息安全管理体系标准 BS7799-1 ： 1995 《信（xìn）息安全管理实施规则》，作为工（gōng）商业和大、中、小（xiǎo）型（xíng）组织实施信息安全管理的指（zhǐ）南。由于该标准采用建议和指导（dǎo）方式编写，因而不宜作为认证标（biāo）准使用。 

· 1998 年，为了适应第三方认（rèn）证的需要，英国又制定了第一个信息安全管理体系认证（zhèng）标准 --BS7799-2 ： 1998 《信（xìn）息安全管（guǎn）理体系规范》，作为（wéi）对一（yī）个组织的全部或（huò）部分（fèn）信（xìn）息安全（quán）管理体系进行评审认证的依据标准。 

· 1999 年，鉴于计（jì）算机和（hé）信息处理技术，尤其（qí）是网络（luò）和通（tōng）信领域（yù）应用（yòng）的迅速发（fā）展，英国又（yòu）对信（xìn）息安全管（guǎn）理（lǐ）体系标准进行了修订。修订后（hòu）的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代（dài）了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的 1999 版标准进一步强调了组织在商务（wù）工作中（zhōng）所涉（shè）及（jí）的信息（xī）安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建（jiàn）立和实施符合 BS7799-2 ： 1999 标准要求的（de）信息安全管理体系（xì）提供了较（jiào）佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已（yǐ）经（jīng）被 ISO/IEC 正式（shì）采纳成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术（shù）—信息安全管理实施规则（zé）》，另外， BS7799-2 ： 1999 也即（jí）将（jiāng）于 2002 年底被 ISO/IEC 作为蓝本修订后成为（wéi）可用（yòng）于认（rèn）证的 ISO/IEC 的《信息安全（quán）管理体系（xì）规范》。 

信息安全认证是实现信息安全（quán）目标的较（jiào）佳途径：

BS7799-2：2002信息（xī）安全管理体系规范向（xiàng）组织提出了一系列认证（zhèng）的要（yào）求，在总则中提出组织应建立并保持一个文件化的信息安全管理体（tǐ）系，阐（chǎn）述被保护的（de）资产、组织风险管理的渠道、控制目标及（jí）控制（zhì）方（fāng）式和需（xū）要（yào）的保证等级；通过（guò）建立（lì）管理架构并加以实施来（lái）达到识别控制目标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针：为（wéi）信息安全（quán）提供管（guǎn）理指导和支持； 

· 组织安全：建立信息（xī）安（ān）全架构，保证组织的内部管理；被第（dì）三方访问（wèn）或外协时，保（bǎo）障（zhàng）组织的（de）信息（xī）安全； 

· 资产的归（guī）类（lèi）与控制：明确资产（chǎn）责任，保持对组织资产的适当保护（hù）；将（jiāng）信息进行归类，确保信（xìn）息资产受到适（shì）当程度的保护； 

· 人员安全：在工作说明和资源方面（miàn），减少因人为错误（wù）、盗窃、欺诈和（hé）设施（shī）误用造（zào）成的风险；加强用（yòng）户培训，确保用户清楚知道信息安（ān）全（quán）的危险性和（hé）相（xiàng）关事项，以便在他们的日常工作中支持组（zǔ）织（zhī）的安全方针（zhēn）；制定安全事（shì）故或故障的（de）反应程序，减（jiǎn）少由安全事故和故障造成（chéng）的损失，监（jiān）控安全事（shì）件并从这种（zhǒng）事件中吸取教（jiāo）训； 

· 实物与环境安全：确定安全区域，防（fáng）止非（fēi）授（shòu）权访问、破坏（huài）、干（gàn）扰商务场所和信息；通过保障设（shè）备（bèi）安全，防止（zhǐ）资产的丢失、破坏、资产危害及商务活动的中断；采（cǎi）用（yòng）通用的控制方式（shì），防（fáng）止（zhǐ）信息（xī）或信息（xī）处（chù）理设施损坏或失窃； 

· 通信和操作方式管理：明确操（cāo）作（zuò）程序及其责任，确保（bǎo）信（xìn）息处理设施（shī）的正确（què）、安全操作；加（jiā）强系统策划与验收，减少系统失效风险；防（fáng）范恶意软件以保持软件（jiàn）和信息的完整性；加（jiā）强内务管理以保持信息处理（lǐ）和通讯服（fú）务的完（wán）整（zhěng）性和有效性通过 ; 加（jiā）强（qiáng）网络管理确（què）保网络（luò）中的信（xìn）息安（ān）全及其（qí）辅（fǔ）助（zhù）设施（shī）受到（dào）保（bǎo）护；通过保护（hù）媒体处（chù）理的安全 , 防止资产损坏和商务活动（dòng）的中断；加强信息和软件的交换的管理，防止组织间在交换信息时（shí）发生丢失、更改和误（wù）用； 

· 访问控（kòng）制：按（àn）照访（fǎng）问控制的（de）商务（wù）要求，控（kòng）制信（xìn）息访（fǎng）问；加强用（yòng）户访（fǎng）问管理（lǐ），防止非授（shòu）权访问信息系统；明确用（yòng）户（hù）职责，防止非授权的用户访（fǎng）问；加强网络访问控制，保护网络服务程序；加强操作系统访问控制 , 防止非授权的计算（suàn）机访问；加强应用访（fǎng）问控制，防止非授权访问系统（tǒng）中（zhōng）的信息；通过监控系统的访（fǎng）问与使用，监测非授（shòu）权行为（wéi）；在移动式计算和电传（chuán）工作（zuò）方（fāng）面 , 确保使（shǐ）用移动式计算和电传工作设施的信息安全； 

· 系统（tǒng）开发（fā）与维护：明确系统安全要（yào）求，确保（bǎo）安全性已构成（chéng）信息系统的一（yī）部份；加（jiā）强（qiáng）应用系统的安全，防止（zhǐ）应（yīng）用系统用户数据的丢失、被修（xiū）改或误用；加强密码技术（shù）控制（zhì），保护信息的保密性、可靠性或完整性；加强（qiáng）系统文件的安全，确（què）保 IT 方案及其支持活（huó）动以安全的（de）方式进行；加强开（kāi）发和支持（chí）过程的安全（quán），确保应用系统软件和信息（xī）的（de）安全； 

· 商务连续性管（guǎn）理：防止商（shāng）务（wù）活动的中（zhōng）断及保护关键商务过程不受重（chóng）大失误（wù）或灾难事故（gù）的影响； 

· 符（fú）合：符合（hé）法律（lǜ）法规要（yào）求，避免（miǎn）刑法、民法、有关法（fǎ）令法规（guī）或（huò）合（hé）同约定事宜及（jí）其他安全要求的规定相抵触；加强（qiáng）安全方针（zhēn）和（hé）技术符合性（xìng）评审，确保（bǎo）体系按照组织的（de）安（ān）全方针及标准执行；系统（tǒng）审核考（kǎo）虑（lǜ）因素，使效果较（jiào）大化（huà） , 并使系统审核过（guò）程的（de）影响较小化（huà）。 　 

在国际标（biāo）准 ISO/IEC17799 给出了为实现信息安全认证（zhèng）所需的各（gè）项措施的详细指导，具有很强的可操作性和指导性。

归根结（jié）底，信息安全工作的目（mù）的就是在法律、法（fǎ）规、政（zhèng）策的支（zhī）持与指导下，通过（guò）采用合适的安全技术与安全管理措施，提供安全需求的保证，而 BS7799 信（xìn）息安全认证标准正是总和了这些要求。组织可以根据自身特点（diǎn），在 ISO/IEC 17799 指导（dǎo）下，实现信息安全的要（yào）求。

 ISO27001：2005 《信（xìn）息安（ān）全管理体（tǐ）系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系要求》是关于信（xìn）息安全管理的标准（zhǔn），是（shì）标准（zhǔn）不是方法，达到这些标（biāo）准（zhǔn）的要求并不难，重要的是用什么方（fāng）法去实现。企业应将实施标（biāo）准作为改善内部管理（lǐ）的一（yī）次机会，不应该将标（biāo）准做为一种简单的模式对现有流程（chéng）运（yùn）作进行套用，应对（duì）现有的组（zǔ）织运作（zuò）流程进行详细分析，有（yǒu）针（zhēn）对性地设计并改善现有管（guǎn）理体系、改（gǎi）善薄弱环节、改善运（yùn）作流程及内（nèi）部沟通，并有效地将先进的管理思想融合到具体的实施程序中，才能发挥标准的真（zhēn）正（zhèng）作（zuò）用。

获得认证证（zhèng）书不是较终目的，建（jiàn）立有责、有序（xù）、有效的信息安全（quán）管理体系，提高员工（gōng）的（de）信息安全意识，不断获取并运用先进的管理方法和技术手段（duàn）才能使企业的信（xìn）息安全管（guǎn）理水平得以持续的发展和（hé）提升。