信息安全 (Information security): 是（shì）指信息的（de）保密性 (Confidentiality) 、完整性 (Integrity) 和可用（yòng）性 (Availability) 的保持。

•  保密性：为（wéi）保（bǎo）障信息仅仅（jǐn）为（wéi）那些被授权使用的人（rén）获取。

 信息的保密性是针对信息被（bèi）允许访（fǎng）问（wèn）（ Access ）对象（xiàng）的多少而不同，所有人员都可以（yǐ）访问的（de）信（xìn）息为公开（kāi）信（xìn）息，需要限制访问的（de）信息一般为敏感信息或秘密，秘密可（kě）以根据信息的重要性及保密（mì）要求分为不同的密（mì）级，例（lì）如国（guó）家根据秘密（mì）泄（xiè）露对国（guó）家经济、安（ān）全利益产（chǎn）生的影响（后果）不同，将国家秘密分为秘密、机密和（hé）绝密三个等（děng）级，组织可根据其信息安全的实际，在符合《国家保（bǎo）密法》的前（qián）提下将（jiāng）其信息划分为不同的密级；对于具体的信息的保密（mì）性有时效性，如秘密到（dào）期解密等。

 •  完（wán）整性：为保（bǎo）护信（xìn）息（xī）及其处理方法的准（zhǔn）确性和完整（zhěng）性（xìng）。

信息完整性一方（fāng）面是指（zhǐ）信息在利用（yòng）、传输、贮存等过程中不被篡改（gǎi）、丢（diū）失、缺损（sǔn）等（děng），另一方面（miàn）是指信息处理的方法的正确性（xìng）。不（bú）正（zhèng）当的操（cāo）作（zuò），如误删除（chú）文件，有可能造成重要文件的丢失（shī）。

 •  可用性：为保（bǎo）障授（shòu）权（quán）使（shǐ）用人在需要（yào）时可以获（huò）取信（xìn）息和（hé）使用相关的（de）资产。

信（xìn）息的可（kě）用（yòng）性是指信息及相关的信（xìn）息（xī）资产在授权人需要（yào）的时（shí）候，可以立即获（huò）得。例如（rú）通信线路中断故障会造成信息的在一段时间（jiān）内不可（kě）用，影响正常的商业运作，这是信息可用性的破坏。不（bú）同类（lèi）型的信息及相应资产的信息安全在保密性、完（wán）整性及可（kě）用性方（fāng）面关注点不同，如组（zǔ）织的专有（yǒu）技术、市场营销计（jì）划等（děng）商业秘密对组织来（lái）讲（jiǎng）保守机密尤其重要；而对于工业自动控制系统，控制（zhì）信息的完整性相对其保密（mì）性重要得多。

为什么需要信息（xī）安（ān）全？

信息（xī）、信息处理过（guò）程（chéng）及对信息起（qǐ）支持作用的信息系（xì）统和信（xìn）息（xī）网络都是重要的（de）商务资产。信息的保密性、完整性和可（kě）用性对（duì）保持竞争优势、资金流动、效益、法律符合性和商业（yè）形象都是（shì）至关重要的。然而，越来越多的（de）组（zǔ）织及其（qí）信（xìn）息系统和网络面（miàn）临着包括计算机诈骗、间谍（dié）、蓄意（yì）破坏、火（huǒ）灾（zāi）、水灾等大范围的（de）安全威胁，诸如计算机病（bìng）毒（dú）、计算机入侵、 Dos 攻击（jī）等手（shǒu）段造成的信（xìn）息灾难已变得（dé）更加普遍 , 有（yǒu）计划而不（bú）易被（bèi）察觉。组织（zhī）对信息系统和信息服务的依赖意味着更易受到安全威胁的破（pò）坏（huài），公共和私人网络的互（hù）连及信息资源的（de）共享增大（dà）了实现访（fǎng）问控（kòng）制的难度（dù）。许（xǔ）多（duō）信息系统本（běn）身就不（bú）是按照（zhào）安全（quán）系统的要（yào）求来设计的，所以仅依靠（kào）技术（shù）手段（duàn）来实现（xiàn）信息安全有其（qí）局限性，所以信息（xī）安全的实现须（xū）得到（dào）管（guǎn）理和程序控制的适当（dāng）支持（chí）。确定应采取哪些控（kòng）制方式则需要（yào）周密计划，并注意细节。信息安全管理至少需要组（zǔ）织中的所有雇员的（de）参（cān）与，此外还需要（yào）供应商、顾客（kè）或股东的参与和信息安全的专家建议。在信息系统设计阶段（duàn）就将安全要求和控制一体（tǐ）化考虑，则成本会更低、效率会更高。

 BS7799的信息管理（lǐ）过（guò）程：

①确定信息安全管理方针（zhēn）。

②确（què）定 ISMS( 信息安全管理体系) 的范围

③进行风险分析（xī）。

④选择控（kòng）制目标并进行控制。

⑤建立业（yè）务（wù）持续（xù）计划。

⑥建立并实施（shī）安全管理体系。

 建立信息安全管（guǎn）理体系的作用：

 任（rèn）何组织，不（bú）论它在信息（xī）技术方面如（rú）何努（nǔ）力（lì）以及采纳如何（hé）新的信息（xī）安全技术，实际上在（zài）信息（xī）安全管理方面都还（hái）存在漏洞（dòng），例如：

· 缺（quē）少信息安（ān）全（quán）管理论坛，安全导向不明确，管理支（zhī）持不明显； 

· 缺少（shǎo）跨（kuà）部门的信息安全协调（diào）机制； 

· 保（bǎo）护特（tè）定资产以及完成特定安（ān）全（quán）过程的职责（zé）还不明确； 

· 雇（gù）员信（xìn）息（xī）安全（quán）意识薄（báo）弱，缺少（shǎo）防（fáng）范（fàn）意识，外来人员（yuán）很（hěn）容（róng）易直接进入（rù）生产和工作（zuò）场所； 

· 组织信息系（xì）统管理制度不（bú）够健全； 

· 组织信息系（xì）统主（zhǔ）机房安全存在（zài）隐患，如：防火设施存在问题，与危险品仓库同处一幢办公（gōng）楼等； 

· 组织信息系统备（bèi）份设备仍有欠（qiàn）缺； 

· 组织信息系统安全（quán）防范（fàn）技术投入欠缺； 

· 软件知识产权保护欠缺（quē）； 

· 计算机房、办公场所等物理（lǐ）防范措施欠缺； 

· 档案、记录等缺少可（kě）靠贮存场所； 

· 缺少一旦发生意外时的保证生产经营连（lián）续性的措施和计（jì）划； 

        ……等等。

为什（shí）么（me）要建立和实施ISO27001信息（xī）安（ān）全管（guǎn）理体（tǐ）系认证（2）

其实（shí），组织可（kě）以参（cān）照（zhào）信息安全（quán）管理模型，按（àn）照先进的信息安全管（guǎn）理标准 BS7799 标准建（jiàn）立组织完整的信息安全（quán）管理（lǐ）体系并实（shí）施与保持（chí），达到动态的（de）、系统的、全（quán）员参（cān）与、制度（dù）化的（de）、以预防为主的信息安全（quán）管理方式，用（yòng）较（jiào）低的成本，达到可接受的信息安全水平，就可以从根本（běn）上保证业务的连续性。组织建立、实施与（yǔ）保持信息安全（quán）管（guǎn）理（lǐ）体（tǐ）系（xì）将会产生（shēng）如（rú）下作（zuò）用（yòng）：

· 强化员工的信息安全意识，规范组（zǔ）织信息安全（quán）行（háng）为； 

· 对组（zǔ）织的关键信息资产进（jìn）行全面系（xì）统的（de）保护，维持竞争优势（shì）； 

· 在信息系统受到侵袭时，确保业务持续开（kāi）展（zhǎn）并将损失降到较低程（chéng）度； 

· 使组织的（de）生意伙伴（bàn）和客（kè）户对组（zǔ）织（zhī）充满信心； 

· 如果通过体系认证（zhèng），表明体系（xì）符（fú）合标准，证明组织有能力保障重要（yào）信息，提高组织的名度与信任度（dù）； 

· 促（cù）使管理层（céng）坚持贯彻（chè）信息（xī）安全保障体系。 

BS7799标准概（gài）述（shù）：

· 1995 年（nián），英国（guó）贸（mào）工部根据英国国（guó）内企业对信息安全日益高涨（zhǎng）的呼声，组织大企业的信（xìn）息安全经理们，制（zhì）定了世界上第一个（gè）信（xìn）息安全管理体系标准 BS7799-1 ： 1995 《信息安全管理实施（shī）规则》，作为工商业和大、中、小型组织实（shí）施（shī）信息安（ān）全管理的指南（nán）。由于该标准采用建议和指（zhǐ）导方式编写，因而不宜作为认证标准（zhǔn）使用。 

· 1998 年，为了适应第三方认（rèn）证（zhèng）的（de）需要，英国又（yòu）制定（dìng）了（le）第一个信息安全管理体系认证标准 --BS7799-2 ： 1998 《信（xìn）息安全管理体系（xì）规（guī）范》，作为（wéi）对一个组（zǔ）织的全部或（huò）部分信息安全（quán）管理体系进（jìn）行评审认证的依据标（biāo）准。 

· 1999 年，鉴于计算机和信息处理技（jì）术，尤其是网（wǎng）络和通信领域（yù）应用的迅速发展，英（yīng）国又对信息安全管理体系标准进行（háng）了修订。修订（dìng）后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取（qǔ）代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的 1999 版（bǎn）标（biāo）准（zhǔn）进一步强调了组织在（zài）商务工作中所涉及的信息安（ān）全和（hé）信（xìn）息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建立和（hé）实（shí）施符合 BS7799-2 ： 1999 标准要求的信息（xī）安全管理体系提（tí）供了较佳的应用建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正式采纳成为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施规则》，另外， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作（zuò）为蓝本修订后成为可用于认证（zhèng）的 ISO/IEC 的《信息安全（quán）管理体系规范》。 

信息安（ān）全认证是实（shí）现信息安全目标的较佳（jiā）途径：

BS7799-2：2002信息安全管理体系规范向组织（zhī）提出了一系（xì）列认证的要求，在总则中提出组织（zhī）应（yīng）建立并（bìng）保（bǎo）持一个文件化（huà）的信息（xī）安全管理体系，阐述（shù）被保护的（de）资产（chǎn）、组（zǔ）织（zhī）风险管理的渠（qú）道、控制目标（biāo）及控（kòng）制方式和（hé）需要（yào）的保证等级；通过建立（lì）管理架构并（bìng）加以实施来达到识别控制目标和控制方式，并形成文（wén）件（jiàn）和记录（lù）。

BS7799-2：2002的控（kòng）制细（xì）则包括10个（gè）方面： 　

· 安全方针：为信息（xī）安全提供管理（lǐ）指导和支持； 

· 组织安全：建（jiàn）立信息安全架构（gòu），保证组织的内（nèi）部（bù）管理；被第三方访（fǎng）问或（huò）外（wài）协时，保障组织的信息安全； 

· 资（zī）产的归类与（yǔ）控制（zhì）：明确资产责任，保持对组织资（zī）产的适当保护（hù）；将信息进行归类，确保（bǎo）信息资产（chǎn）受到适当程度（dù）的保护（hù）； 

· 人员（yuán）安全：在工（gōng）作说明和（hé）资源方面，减少因人为错误、盗窃、欺诈和设施误用（yòng）造成的风险（xiǎn）；加强（qiáng）用户培训，确保用户清楚知道信息安全的危（wēi）险性和相关事项，以便在他们的日常（cháng）工作中支持组织的安（ān）全方针；制定安全事故或故障的反应程序，减少（shǎo）由安全事故（gù）和故障（zhàng）造成的损失，监控（kòng）安全事件并从这种事（shì）件中（zhōng）吸取教训（xùn）； 

· 实物（wù）与环境安全：确（què）定安全区域，防止非授权（quán）访问、破坏、干扰商务场所和（hé）信息；通过保障设备（bèi）安全，防止资产（chǎn）的丢失（shī）、破坏、资产危害及商务活动的（de）中（zhōng）断；采用通用的控制（zhì）方式，防止信息或（huò）信息（xī）处理（lǐ）设施（shī）损坏或失窃； 

· 通（tōng）信和操（cāo）作方（fāng）式管理：明确操（cāo）作程序及其责（zé）任，确保信息处理设（shè）施的正确、安全（quán）操（cāo）作；加强（qiáng）系统策划（huá）与验收，减少（shǎo）系（xì）统失效风险；防范恶（è）意（yì）软件以（yǐ）保持软件和信（xìn）息的完整性；加强内务管（guǎn）理以保持（chí）信息（xī）处理和通讯服务的完整性（xìng）和（hé）有效性通过 ; 加强网络管（guǎn）理确保网（wǎng）络中的信息安（ān）全及其辅助设施（shī）受到保护；通过保护媒体处理的安（ān）全 , 防止资产损坏和商务活动的中断；加强信息和（hé）软（ruǎn）件的（de）交换的管理（lǐ），防止组织间在交（jiāo）换信息时发生（shēng）丢（diū）失、更改和误用； 

· 访（fǎng）问控制：按（àn）照（zhào）访问控（kòng）制的商务要求（qiú），控制信息（xī）访问；加强（qiáng）用户访（fǎng）问（wèn）管理，防止非授权访问信息系（xì）统（tǒng）；明（míng）确用户职（zhí）责，防（fáng）止非授权的用户（hù）访问；加强网络（luò）访问控制，保护（hù）网络服务程序；加（jiā）强操作系（xì）统访问控制 , 防止非授权（quán）的计算机（jī）访（fǎng）问；加（jiā）强应用访问控（kòng）制，防止非授权访（fǎng）问系统中的信息；通过监控系统的（de）访问（wèn）与使用，监测非授权行为；在（zài）移动式（shì）计算（suàn）和电传工作方面（miàn） , 确（què）保（bǎo）使（shǐ）用移动（dòng）式计（jì）算和电传工作（zuò）设施的信息安全； 

· 系统开发（fā）与维护：明确（què）系统安全要（yào）求，确保安全（quán）性已构成信息系统（tǒng）的一部份；加强（qiáng）应用系（xì）统（tǒng）的安全，防止应（yīng）用系统用户数据（jù）的丢（diū）失（shī）、被修改（gǎi）或误用（yòng）；加强密码（mǎ）技（jì）术控制（zhì），保护（hù）信息的保密性、可（kě）靠性或完（wán）整性；加强系统文件的安全，确保 IT 方案及其（qí）支持活动以安全的方式进行；加强开发和支持（chí）过程的安全，确保应用（yòng）系统软件和信息的安（ān）全； 

· 商务（wù）连（lián）续性（xìng）管理：防止商务（wù）活动的中（zhōng）断及保护（hù）关键（jiàn）商（shāng）务过程不受重大失误或灾难事故的影响； 

· 符合：符合法律法（fǎ）规（guī）要（yào）求，避免刑法、民法、有关法令法规或合同约定事宜及其（qí）他安全要求的规定相抵触；加强安全方（fāng）针和技术符合性评审，确保体系按照组（zǔ）织的安全方针及标准执行；系统审核（hé）考虑（lǜ）因素，使效果较大化 , 并（bìng）使系统审核（hé）过程的影响（xiǎng）较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信息安全认证（zhèng）所（suǒ）需的各（gè）项措施的详细（xì）指（zhǐ）导，具有很（hěn）强（qiáng）的可（kě）操作（zuò）性和（hé）指导性（xìng）。

归根结底，信息安全工作的目的就（jiù）是在（zài）法律、法规、政策的支持与（yǔ）指导下，通过（guò）采用合（hé）适的（de）安（ān）全技（jì）术与（yǔ）安全管理（lǐ）措（cuò）施，提供安全（quán）需求（qiú）的保（bǎo）证，而（ér） BS7799 信息安全认（rèn）证标准正是（shì）总和了这些（xiē）要求。组织可以根据自身特（tè）点，在 ISO/IEC 17799 指导下，实现（xiàn）信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全（quán）管理体（tǐ）系要求》是关于信息安全管理的标准，是标（biāo）准不是（shì）方法，达到这（zhè）些标（biāo）准的要求并不难（nán），重要的（de）是用什么方法去实现。企业（yè）应将实施标（biāo）准作为改善内部管理的一次（cì）机会（huì），不应该将标准做（zuò）为一种简单（dān）的模式对（duì）现有（yǒu）流（liú）程运作进行套用，应对现（xiàn）有的组织运作流程进行详细分析，有针对性（xìng）地（dì）设计并改善现有管理体系、改善薄弱环节、改善运作流程及内（nèi）部沟通，并（bìng）有效地将先进的管理思（sī）想（xiǎng）融合到具体的（de）实施程序中，才能发挥标准的真正作用（yòng）。

获得认证证书不是较终（zhōng）目（mù）的（de），建（jiàn）立（lì）有责、有序、有效的（de）信息安全管理体系，提高员工的信息安全意识，不断获取（qǔ）并运（yùn）用先进的（de）管（guǎn）理（lǐ）方法和技术手段才能使企业的（de）信息安全（quán）管理水（shuǐ）平得以持（chí）续（xù）的发展和提升。