信息安全 (Information security): 是（shì）指信息的保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为保障信息仅仅为那些被授权使（shǐ）用的人获取。

 信（xìn）息的（de）保密性是针对信息被允许（xǔ）访问（wèn）（ Access ）对（duì）象的多少而不同，所有人员（yuán）都（dōu）可以访问的信息（xī）为公（gōng）开信息（xī），需要限制访问的信息（xī）一般（bān）为敏感信息（xī）或秘（mì）密，秘密可（kě）以根（gēn）据信息的重要性及（jí）保密要求分为不（bú）同的（de）密级（jí），例如国家根据秘密泄露（lù）对国家（jiā）经济、安全利益产（chǎn）生的（de）影响（后果）不同，将国家秘密分（fèn）为秘（mì）密、机密和绝密三个等级，组织可根（gēn）据其信息安全的实（shí）际，在（zài）符合《国家保（bǎo）密法》的前提下将其信（xìn）息划（huá）分为不同的密级；对于具体（tǐ）的信息的保密性有时效性，如秘密到期解（jiě）密等。

 •  完整性（xìng）：为保（bǎo）护信息及其处（chù）理方法的准确性和完（wán）整（zhěng）性。

信（xìn）息完整性一方面是指信息在利用、传（chuán）输（shū）、贮存等过程中不（bú）被篡改、丢失、缺损等（děng），另一方面是（shì）指信息处理的方法的正（zhèng）确性。不（bú）正当的操作，如误删除文件，有可（kě）能造成重要文件的丢失。

 •  可用性（xìng）：为保（bǎo）障授权使用人在需要时可（kě）以（yǐ）获取信息和使用相关的资产（chǎn）。

信（xìn）息的（de）可（kě）用（yòng）性是指信息及相（xiàng）关的信息资（zī）产（chǎn）在授权人需要的时候（hòu），可以（yǐ）立即获得。例如通（tōng）信线路中（zhōng）断故障会造成信息的在一段时间内不（bú）可用（yòng），影（yǐng）响正常（cháng）的商业运作，这是信息可用性（xìng）的破坏（huài）。不同（tóng）类型（xíng）的信息及相（xiàng）应资产的（de）信（xìn）息安全在保密性、完整性（xìng）及（jí）可用性方面（miàn）关注点不同，如组织（zhī）的专有技（jì）术、市场（chǎng）营（yíng）销计划等（děng）商业（yè）秘密对组织来讲保守机密尤其重要；而对于工业（yè）自动控（kòng）制（zhì）系统（tǒng），控制信息的完整性相对其保密（mì）性重要得（dé）多。

为什么需要信息安全？

信息、信息处理过（guò）程及（jí）对信息（xī）起支持作用（yòng）的信息系统和信息网络都是（shì）重要的商务资产。信（xìn）息的保（bǎo）密性、完整（zhěng）性和（hé）可用（yòng）性对保持竞（jìng）争优势、资金流（liú）动（dòng）、效（xiào）益（yì）、法律符合（hé）性和商业形象都是至关重要（yào）的。然而（ér），越来越多的组（zǔ）织及其信息系统和（hé）网（wǎng）络面临着包括（kuò）计算机诈骗、间谍、蓄意破坏、火灾（zāi）、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、 Dos 攻击等手段造成的信息灾难已变得（dé）更加（jiā）普遍 , 有计划而（ér）不易被察觉。组织对信息系统和信息（xī）服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的（de）互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不（bú）是按照安全系统的（de）要（yào）求来设计（jì）的，所以仅依（yī）靠技术手段来实现信（xìn）息安全有其（qí）局限性，所以（yǐ）信息安全的实现须得到管理和程序控制的适当支持。确（què）定（dìng）应采（cǎi）取哪些（xiē）控制方式则需要周密计划，并注意细节。信息安全管（guǎn）理（lǐ）至（zhì）少需要组织中的所有雇员的参与，此外（wài）还需要供应（yīng）商、顾客或（huò）股东的参与和信息（xī）安全的专（zhuān）家建议。在信（xìn）息（xī）系（xì）统（tǒng）设（shè）计阶（jiē）段就（jiù）将安全要求和控制一体化考（kǎo）虑，则成（chéng）本会更低、效（xiào）率会更高。

 BS7799的信息管理过程（chéng）：

①确定信息安全管理方（fāng）针。

②确定 ISMS( 信息安全管理体系) 的范（fàn）围

③进行风险（xiǎn）分（fèn）析。

④选择（zé）控制目标并进行控（kòng）制。

⑤建立（lì）业务持续计划。

⑥建立并实施安全管理体系。

 建立（lì）信息（xī）安全管理体系的作用：

 任（rèn）何组织（zhī），不论它在信息技术方面如何努（nǔ）力以及采纳如（rú）何新的信（xìn）息安（ān）全技术，实际上在信（xìn）息安全管理（lǐ）方面都还存在漏洞，例如：

· 缺少信息安全管理（lǐ）论（lùn）坛，安全（quán）导向不明（míng）确（què），管理（lǐ）支持不明显； 

· 缺（quē）少跨（kuà）部门的（de）信（xìn）息安（ān）全协调机制； 

· 保护特定（dìng）资产以及完成（chéng）特定安全过程的职（zhí）责还不明确； 

· 雇员信息安全意识（shí）薄（báo）弱，缺少防范意（yì）识（shí），外（wài）来（lái）人员很容易直（zhí）接进入生产和工（gōng）作（zuò）场（chǎng）所； 

· 组织信息系统管理制度不够健全； 

· 组（zǔ）织信息系统主机房安全存在隐患，如：防火设施存在（zài）问题，与危险品仓库同处一幢办公楼等； 

· 组织信息系统备（bèi）份（fèn）设备仍有欠缺； 

· 组织（zhī）信息系统安全防（fáng）范技术（shù）投（tóu）入欠缺； 

· 软件知（zhī）识产权保护欠缺（quē）； 

· 计算机房（fáng）、办公场所等物理防范措施欠缺（quē）； 

· 档案、记（jì）录等缺少（shǎo）可靠贮存（cún）场（chǎng）所； 

· 缺（quē）少（shǎo）一旦发生（shēng）意外时（shí）的保证生（shēng）产经（jīng）营连续性的措施和计划； 

        ……等（děng）等。

为（wéi）什么（me）要建立和（hé）实施ISO27001信息安全（quán）管理体系认证（2）

其（qí）实，组（zǔ）织（zhī）可以参（cān）照信息安全管（guǎn）理模型，按（àn）照（zhào）先进的信（xìn）息（xī）安全（quán）管理标准 BS7799 标（biāo）准建立组织完整的信息安全管理体系并（bìng）实施与（yǔ）保持（chí），达到动态的、系统（tǒng）的、全员参与、制（zhì）度化的、以预防为主（zhǔ）的信息安全管理（lǐ）方式，用（yòng）较低的成本，达到（dào）可接（jiē）受的信息安（ān）全水平，就可以从根本上（shàng）保证业务的连续性（xìng）。组织建立（lì）、实施（shī）与保持信息（xī）安全管理体（tǐ）系将会产生如下作用：

· 强（qiáng）化员工的（de）信息（xī）安全意识，规（guī）范（fàn）组织信息安全行（háng）为（wéi）； 

· 对组织的关（guān）键信（xìn）息（xī）资产进（jìn）行全（quán）面系统（tǒng）的保护，维持竞争优（yōu）势； 

· 在信（xìn）息系统（tǒng）受到侵袭（xí）时，确保业务持续开展并（bìng）将（jiāng）损失降（jiàng）到较低程度； 

· 使组织的生意伙伴和客户对组（zǔ）织充满信心； 

· 如果通过体系认证，表明体系（xì）符合标准，证明组织有（yǒu）能（néng）力保障重要信息，提高组织的名度与信任度； 

· 促使管理层坚持贯彻信（xìn）息安全保障体系。 

BS7799标准概述：

· 1995 年（nián），英国贸工部根据英国国（guó）内企业（yè）对信（xìn）息安全日益高（gāo）涨的呼（hū）声，组织大企（qǐ）业的（de）信息安全经（jīng）理（lǐ）们（men），制定（dìng）了世界上第一（yī）个信息（xī）安全管理体系标（biāo）准 BS7799-1 ： 1995 《信（xìn）息（xī）安全管（guǎn）理实施规则》，作为工（gōng）商业和大、中、小型（xíng）组织实施信息安（ān）全管（guǎn）理的指（zhǐ）南。由（yóu）于（yú）该标准采用建议和指导方式编写，因而不宜作为认（rèn）证标准（zhǔn）使用（yòng）。 

· 1998 年，为了适应第（dì）三方认证（zhèng）的需要（yào），英国又制定了第一个（gè）信息安全管理（lǐ）体系认（rèn）证标准 --BS7799-2 ： 1998 《信息安全管理体系规（guī）范》，作为对（duì）一个组织的全部（bù）或部分信息安全管理体系进（jìn）行评（píng）审认证的依据标准。 

· 1999 年（nián），鉴于（yú）计（jì）算机和信息处理（lǐ）技术，尤其是网（wǎng）络和通信领（lǐng）域应用的迅速发展，英国又对信息安全管理（lǐ）体系标准进（jìn）行（háng）了修订。修订（dìng）后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的 1999 版标准进一步（bù）强（qiáng）调了组织在（zài）商务工（gōng）作（zuò）中所涉及的（de）信息安全和（hé）信息安（ān）全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建立和（hé）实施符合 BS7799-2 ： 1999 标准要求的信息（xī）安全管理体系提供了（le）较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经（jīng）被 ISO/IEC 正式采纳成为（wéi）国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息（xī）安全管理实施规则》，另外， BS7799-2 ： 1999 也（yě）即将于 2002 年底被 ISO/IEC 作为蓝本（běn）修订后成（chéng）为可用（yòng）于认证的（de） ISO/IEC 的《信息安全管理体系规范》。 

信息（xī）安全认（rèn）证是实（shí）现信息安（ān）全（quán）目标的较佳途径（jìng）：

BS7799-2：2002信息安全管理体（tǐ）系规范向组（zǔ）织提出（chū）了一系列（liè）认证的要求，在总则中提出组织应建（jiàn）立并保持一个文件化的信息安全管（guǎn）理体（tǐ）系（xì），阐述被保护的资产、组织（zhī）风险管理的（de）渠道（dào）、控制目标及控制方（fāng）式和（hé）需要的保（bǎo）证等级；通过建立管理架构并加以实施来（lái）达到识（shí）别控制目标和控制（zhì）方式（shì），并（bìng）形成（chéng）文件（jiàn）和记录。

BS7799-2：2002的控制细则（zé）包括10个（gè）方面： 　

· 安（ān）全方针（zhēn）：为信（xìn）息安全提供管（guǎn）理指导和支持； 

· 组织安全：建立信息安全架（jià）构，保证组织的内部管理；被第三方访问（wèn）或外协时（shí），保障组织的信息安全； 

· 资（zī）产的归类（lèi）与（yǔ）控制（zhì）：明（míng）确资产责任，保持对组织资产的适当保护；将信（xìn）息进行（háng）归类，确保信息资产受到适当（dāng）程度的保护； 

· 人员安（ān）全：在工作（zuò）说明和资源方面（miàn），减少因人（rén）为错误、盗窃、欺（qī）诈（zhà）和设（shè）施误（wù）用造成（chéng）的（de）风险；加（jiā）强用户培训，确保用（yòng）户清（qīng）楚知（zhī）道（dào）信息（xī）安全的危险性和（hé）相关（guān）事项（xiàng），以便在（zài）他们的日常工作（zuò）中（zhōng）支持组织（zhī）的安全方（fāng）针（zhēn）；制定安（ān）全事故或故障的反应程序，减少由安全事（shì）故和故（gù）障造成的（de）损失，监控安全事件（jiàn）并从这种（zhǒng）事件中吸取（qǔ）教（jiāo）训； 

· 实物与环境安（ān）全：确定安全区域，防止非授权访问、破坏（huài）、干扰商务（wù）场所（suǒ）和信息；通过（guò）保障设（shè）备安全，防（fáng）止资产的（de）丢失、破坏、资产（chǎn）危害及（jí）商务活动（dòng）的中断；采（cǎi）用通用的控制方式，防止信息（xī）或（huò）信息处理设施损（sǔn）坏或失窃（qiè）； 

· 通（tōng）信和操作方（fāng）式管（guǎn）理：明确操作程序（xù）及其责任，确保信息处（chù）理设施的正（zhèng）确、安（ān）全操作；加（jiā）强系（xì）统策划与验收，减少系统失效风险；防范恶意软件以保持软（ruǎn）件（jiàn）和（hé）信息的完（wán）整性；加强内务管理以保持（chí）信息处（chù）理和通讯服务的完整（zhěng）性和有效性（xìng）通过 ; 加强网络管理确保（bǎo）网络中的信息（xī）安全及其辅助设施受到保护；通过保（bǎo）护（hù）媒体（tǐ）处理的安（ān）全（quán） , 防止资产损坏和商务活（huó）动的中断；加强信息和软件的交换的管理，防止组（zǔ）织间在（zài）交换信息时发生丢失、更改和误用； 

· 访问控（kòng）制：按照访（fǎng）问控制的（de）商务要求（qiú），控制信息（xī）访问；加强用户访问管理，防止非授权（quán）访问信息（xī）系统；明确用户职责，防止非授权的用户访（fǎng）问（wèn）；加（jiā）强网络访问控制，保护网络（luò）服务程序；加（jiā）强（qiáng）操作系统访问（wèn）控（kòng）制 , 防止非授（shòu）权的计算机访问；加（jiā）强应用访问控制（zhì），防止非授（shòu）权访问系统中的信息；通过监控系统的访（fǎng）问（wèn）与使用，监测非授权（quán）行为（wéi）；在移动式计算和电传工作方面 , 确保使用移动式计算和电（diàn）传工（gōng）作设施（shī）的信（xìn）息安（ān）全； 

· 系统开发与维护：明确系（xì）统安全（quán）要（yào）求，确保安全性已（yǐ）构成信息系统（tǒng）的一部份；加强应用系（xì）统（tǒng）的（de）安（ān）全，防（fáng）止应用（yòng）系（xì）统用户数据的丢（diū）失、被（bèi）修改或误用；加强密码技术控制，保（bǎo）护信息的保密性（xìng）、可靠（kào）性（xìng）或完（wán）整性；加强系统文件的安全，确保 IT 方案及（jí）其支（zhī）持活动以安全的方式进行（háng）；加强（qiáng）开发和支持过程的安全，确保应用（yòng）系统软（ruǎn）件和（hé）信息的安全； 

· 商务连续性管理：防止商务（wù）活动的中断及保护关键商务过程不受重（chóng）大失误或灾难事故的影响（xiǎng）； 

· 符合：符合法律（lǜ）法规要求，避免刑法、民法、有关法令法规或合同约（yuē）定事宜及其他安（ān）全要求的规定相抵触；加强安全方针和技术符合性（xìng）评审，确保体系按照组织（zhī）的安全方（fāng）针及标准执行（háng）；系统审核考虑因素，使效果（guǒ）较（jiào）大化 , 并（bìng）使系（xì）统（tǒng）审（shěn）核过程的影响较（jiào）小（xiǎo）化。 　 

在国际标（biāo）准 ISO/IEC17799 给出了为实现信（xìn）息安全认证所需的各项措施的详细指导，具（jù）有很（hěn）强的可操（cāo）作性（xìng）和指导性。

归根结底，信息安全工作的目的就是在法律、法规、政策的支持与指导下，通过（guò）采用合适的安全技（jì）术与安全管理（lǐ）措施，提供安全需求（qiú）的保（bǎo）证，而 BS7799 信息安全认证标准正是总和了（le）这些要（yào）求。组（zǔ）织（zhī）可以根据自（zì）身（shēn）特点，在 ISO/IEC 17799 指导（dǎo）下，实现（xiàn）信息安全（quán）的要求。

 ISO27001：2005 《信息安全管理体系（xì）要（yào）求（qiú）》

 ISO27001 ： 2005 《信息安全（quán）管理体系（xì）要求》是关于信息安全管理的标准，是标准（zhǔn）不是方法，达（dá）到（dào）这些标准的（de）要求并不难（nán），重要的是用什么方法（fǎ）去实（shí）现。企业应将实施标准（zhǔn）作为（wéi）改善内部管理的一次（cì）机会，不应该将标准做为一种简单的模（mó）式（shì）对现有流（liú）程运作进（jìn）行（háng）套用，应对现有（yǒu）的组织（zhī）运作流程进行详细分析，有针对性地设计并改善现有管（guǎn）理体系、改善薄（báo）弱环（huán）节、改善运作流程及内部沟通，并（bìng）有效（xiào）地将先进的管理（lǐ）思想融合到具体的实施程序中，才能（néng）发挥标准的真（zhēn）正作用。

获得认（rèn）证（zhèng）证书（shū）不是较（jiào）终目的，建立有责、有序、有效的信息安全管理体系，提高员工的信息（xī）安全意识，不（bú）断（duàn）获取并运用先进的管理方法和技术手段才能使企业的信息安全管理水平得以持续的发展和提升。