信息（xī）安（ān）全 (Information security): 是指信（xìn）息的保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性（xìng） (Availability) 的保（bǎo）持。

•  保密性（xìng）：为保（bǎo）障（zhàng）信息仅仅为（wéi）那些（xiē）被授权使用的人获取（qǔ）。

 信息的保密性是（shì）针（zhēn）对信息被允许访问（ Access ）对象（xiàng）的多少（shǎo）而不同，所有人员都（dōu）可以访问的信息为公开信息，需要（yào）限制访（fǎng）问的信息一般为敏感（gǎn）信（xìn）息或秘密，秘密可（kě）以根据信息的重要（yào）性及保密要求（qiú）分为不同的密级，例如国（guó）家根据秘密泄露（lù）对国家（jiā）经济、安全利益产（chǎn）生的影响（后（hòu）果）不（bú）同，将国家秘密分为秘密、机密和绝密（mì）三（sān）个（gè）等级，组织可根据其信息安全的实际（jì），在符（fú）合《国（guó）家保密法》的前提（tí）下将其（qí）信（xìn）息划分为不（bú）同的密级；对于具体的信息的保密性有时效性（xìng），如秘密（mì）到期解密等。

 •  完（wán）整性（xìng）：为保护信息及其（qí）处理方（fāng）法的准确性和完整（zhěng）性。

信息完整性一方面是指（zhǐ）信息（xī）在利用、传输（shū）、贮存等（děng）过程中不被篡改、丢失、缺损等，另一（yī）方（fāng）面（miàn）是指信息（xī）处理的（de）方法的正确性。不正当的操作，如误删除文（wén）件，有可能造成重要文件的丢失。

 •  可用性：为保（bǎo）障授权（quán）使用人在需要（yào）时（shí）可以获取信息（xī）和使（shǐ）用相（xiàng）关的资产。

信息的可用性是指信息及相关的信（xìn）息资产在授权人需要的时（shí）候（hòu），可（kě）以立即获得。例如通信（xìn）线（xiàn）路中断故（gù）障会造成信息（xī）的在一段时间内不可用（yòng），影（yǐng）响正常（cháng）的商（shāng）业运（yùn）作，这是（shì）信息（xī）可（kě）用性的破（pò）坏（huài）。不（bú）同类（lèi）型（xíng）的（de）信息（xī）及（jí）相（xiàng）应资产的信息（xī）安全在保密性、完整性及可用（yòng）性（xìng）方（fāng）面关注点不同，如组（zǔ）织的专有技术、市场营销计划等商业秘密对组织来讲保守机密尤（yóu）其重要；而对于工（gōng）业自动控制系统，控制信（xìn）息的完整性相对其保密性重要得多。

为什么需要信息安（ān）全？

信息、信息处理过程及（jí）对信息（xī）起支持作用的信息系统和信息（xī）网络都是重要的商务资产。信息的保（bǎo）密性、完（wán）整性和可用性对保持竞争优势、资金流动（dòng）、效益、法律符合性和（hé）商业形（xíng）象都（dōu）是至关（guān）重要的。然（rán）而，越来越（yuè）多的组（zǔ）织（zhī）及其信息（xī）系（xì）统和网络（luò）面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病（bìng）毒、计算机入侵、 Dos 攻击等手段造成的信息灾难已变得更加普遍 , 有计划而不易被察觉。组织（zhī）对信息（xī）系（xì）统和信息服务的依赖意味着更易受到安全（quán）威胁的破坏，公共和私人网（wǎng）络（luò）的互连及（jí）信息（xī）资源（yuán）的（de）共享增大了实现访（fǎng）问控制的难度。许多（duō）信息系统本身就（jiù）不是按（àn）照安（ān）全系统的要求来设计的，所以仅依（yī）靠技术手（shǒu）段来实现（xiàn）信息安全有（yǒu）其局限性（xìng），所以（yǐ）信息安全的实（shí）现（xiàn）须（xū）得（dé）到管理和（hé）程序控制的适当支持。确定（dìng）应（yīng）采（cǎi）取哪些控制方式则需要周密计划，并注意细节。信息安（ān）全（quán）管理至少需要组织中的（de）所（suǒ）有雇员的参与，此外还需要供（gòng）应（yīng）商（shāng）、顾客（kè）或股（gǔ）东的参与和（hé）信息安全的（de）专家建议（yì）。在信息系统设计阶段就（jiù）将安全要求和控制一体化考虑，则成（chéng）本会更低、效（xiào）率会更高。

 BS7799的信息管理过程：

①确定信息（xī）安全（quán）管理方（fāng）针。

②确定（dìng） ISMS( 信（xìn）息安全管理体系) 的范围（wéi）

③进行风险分析。

④选择控制目标并进行控（kòng）制。

⑤建（jiàn）立业务（wù）持续计（jì）划。

⑥建立并实（shí）施安全（quán）管理（lǐ）体系。

 建立信息安全管理体系的（de）作用：

 任何组织，不（bú）论它在信息技（jì）术方面如何努力以及采纳如何新（xīn）的信息（xī）安（ān）全技术，实际（jì）上（shàng）在信息安（ān）全管理方面都还存在漏洞，例如（rú）：

· 缺少信息安全管理论坛，安（ān）全导向不明（míng）确，管理支持不明显； 

· 缺少跨部门的信息安全协调机制； 

· 保护特（tè）定（dìng）资产以及完成特定安全过程的职责（zé）还不明确； 

· 雇员信（xìn）息（xī）安全意识薄弱，缺少防范意识（shí），外来人员很容易（yì）直（zhí）接进入生产和工作（zuò）场（chǎng）所； 

· 组织（zhī）信（xìn）息系统管理制度不够（gòu）健全； 

· 组（zǔ）织信息（xī）系统主机房（fáng）安全存在隐（yǐn）患，如：防火设（shè）施存在（zài）问题（tí），与危险品仓库同处（chù）一幢办（bàn）公楼等； 

· 组织信息系统备份设备（bèi）仍有欠缺； 

· 组织信息系统安全防范技术（shù）投入欠（qiàn）缺； 

· 软件知识（shí）产权（quán）保护欠缺（quē）； 

· 计（jì）算（suàn）机房、办公场所等（děng）物理防范措施欠缺； 

· 档（dàng）案、记录等缺少可靠贮（zhù）存（cún）场所； 

· 缺少（shǎo）一旦发生意外时的保证生（shēng）产经营连续性的措施和计划； 

        ……等等（děng）。

为什么要建立（lì）和实施ISO27001信息安全管理体系认（rèn）证（2）

其实，组织可（kě）以参照（zhào）信息安全管理模（mó）型，按照先进的信息安全管理标准 BS7799 标准建（jiàn）立组（zǔ）织完（wán）整（zhěng）的信（xìn）息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的（de）信息安全管理方式，用较（jiào）低的成本，达（dá）到可接受的（de）信息安全水平，就可以从根本（běn）上保（bǎo）证业务的连（lián）续（xù）性。组织建立、实施与保持信息安（ān）全管理体（tǐ）系将会产（chǎn）生如下作用：

· 强化员工的信息安全意识，规范组织（zhī）信息安全行为； 

· 对组织的关键信息资（zī）产进行全面系统的（de）保护，维持竞争优势； 

· 在信息系统受到（dào）侵袭时，确（què）保业（yè）务持续开（kāi）展并将损失降到较低程度； 

· 使组织的生意伙伴和客户对组织充满信心； 

· 如果（guǒ）通（tōng）过体（tǐ）系认证（zhèng），表明体系（xì）符（fú）合（hé）标准，证明组织有能力保（bǎo）障重要信息，提高组织的名度与信任度； 

· 促（cù）使（shǐ）管理层坚持贯彻（chè）信息安全保（bǎo）障体系。 

BS7799标准概述：

· 1995 年，英（yīng）国贸工部根据英（yīng）国国内企业（yè）对信息安全日（rì）益高涨（zhǎng）的呼声，组（zǔ）织（zhī）大（dà）企（qǐ）业（yè）的信息（xī）安全经理们，制（zhì）定（dìng）了世界（jiè）上第一个信息安全管理体系标准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为（wéi）工（gōng）商业和大、中、小型组（zǔ）织实施信息安全管理（lǐ）的指南。由于（yú）该标准采用（yòng）建议（yì）和指导（dǎo）方式编（biān）写，因而不宜（yí）作（zuò）为认证标准使用。 

· 1998 年（nián），为了适应（yīng）第三方认证的需要（yào），英国又制定了第一个（gè）信息安全管理体系认（rèn）证标准 --BS7799-2 ： 1998 《信息（xī）安全管理体系规范》，作为对一个组织的（de）全部或部分信息安全管理体系进行评审认（rèn）证的依据（jù）标准（zhǔn）。 

· 1999 年，鉴（jiàn）于计算机和信息（xī）处理技（jì）术，尤其是（shì）网络和通信（xìn）领域应用的（de）迅速发展，英国又对信息安全管理体系标准进（jìn）行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代（dài）了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订（dìng）的 1999 版标（biāo）准进一步强（qiáng）调了组（zǔ）织在商务（wù）工作（zuò）中（zhōng）所涉及的（de）信息安全和信息安（ān）全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准（zhǔn）， BS7799-1 ： 1999 为如何建立和实施符合 BS7799-2 ： 1999 标准要求的信息安全管理体（tǐ）系提（tí）供了较佳的应用建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已（yǐ）经（jīng）被 ISO/IEC 正式采纳（nà）成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施规（guī）则》，另（lìng）外， BS7799-2 ： 1999 也即（jí）将于（yú） 2002 年底被 ISO/IEC 作为蓝本修订后（hòu）成为可（kě）用（yòng）于认证（zhèng）的 ISO/IEC 的《信（xìn）息安全（quán）管理体系规范》。 

信（xìn）息（xī）安（ān）全（quán）认证是实（shí）现信息安全目标的较佳途（tú）径：

BS7799-2：2002信（xìn）息（xī）安全（quán）管（guǎn）理体系规范向组织提出（chū）了（le）一系列（liè）认证的要（yào）求，在总则中提出组织应（yīng）建立并保持一个文件（jiàn）化的信息（xī）安（ān）全管（guǎn）理体系，阐述被（bèi）保护（hù）的资产、组织（zhī）风险管（guǎn）理的（de）渠道、控制目标及控制方式和（hé）需要的（de）保证等级；通过建立管理架构并加以实施来达到识别控制目标和控（kòng）制方式，并形成文（wén）件和（hé）记录（lù）。

BS7799-2：2002的控制细（xì）则包括10个方面： 　

· 安（ān）全方针：为信息安全提供管理指导和支持； 

· 组织安全：建立（lì）信息安全架构，保证组织（zhī）的（de）内部管（guǎn）理；被第三方（fāng）访问或外协（xié）时，保（bǎo）障（zhàng）组织的信息（xī）安全； 

· 资（zī）产的（de）归类与（yǔ）控（kòng）制（zhì）：明确资产（chǎn）责任，保持对组织资产的适当保护；将信（xìn）息进（jìn）行归类，确（què）保信（xìn）息资产受到适当程度的（de）保护； 

· 人员安全：在工作说明和（hé）资源方（fāng）面，减少（shǎo）因（yīn）人为错误、盗窃、欺诈和设施（shī）误用造成的风险；加强用户培训，确（què）保用户清（qīng）楚知（zhī）道信息安（ān）全的（de）危险性（xìng）和相关事（shì）项（xiàng），以便在他（tā）们的（de）日常工作中支持（chí）组织的安全方（fāng）针；制定（dìng）安全事故或故障的反应程（chéng）序，减（jiǎn）少由安（ān）全事故（gù）和故障造成的损（sǔn）失，监（jiān）控安全事件并（bìng）从这（zhè）种事件中吸取教训（xùn）； 

· 实（shí）物与环（huán）境安全：确定安（ān）全（quán）区域，防止（zhǐ）非（fēi）授权访问、破坏、干扰（rǎo）商（shāng）务场所和信息；通过保（bǎo）障设备安全，防止资产的丢失、破坏（huài）、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理设施（shī）损坏或失（shī）窃； 

· 通信和操作方（fāng）式管理：明确（què）操作程序及其（qí）责任，确（què）保信息处理设施（shī）的正（zhèng）确、安（ān）全（quán）操（cāo）作；加（jiā）强系统策划（huá）与验收，减少系统失效风险；防（fáng）范（fàn）恶（è）意软件以保持软件和信息（xī）的完整性（xìng）；加强内务管理以（yǐ）保（bǎo）持信（xìn）息处理和通讯服务（wù）的完整性和有效性通过 ; 加（jiā）强网络管理（lǐ）确保网络中的信息安全及其辅助设施受到（dào）保护；通过保护媒体（tǐ）处理的安全（quán） , 防（fáng）止（zhǐ）资产损坏和（hé）商务活动的（de）中断；加强信息和（hé）软件的交换的管理，防止组织（zhī）间在交换信息（xī）时（shí）发生丢（diū）失、更改和误用； 

· 访问控制（zhì）：按照访问控（kòng）制的商（shāng）务要求，控制信息访问；加强用户访问管（guǎn）理，防止（zhǐ）非授权（quán）访问（wèn）信息（xī）系统；明确用户职责，防止非（fēi）授权的用户（hù）访问；加强网络访问控制，保（bǎo）护网（wǎng）络服务程序；加强操作（zuò）系统访问控制 , 防止非（fēi）授权的（de）计算机访问；加强应用访（fǎng）问控制，防（fáng）止非授权访问系统中的（de）信息（xī）；通过（guò）监（jiān）控系统的访（fǎng）问与使用，监测非（fēi）授权行为；在移动式计算和（hé）电传工作方面（miàn） , 确保使用移动式计算（suàn）和电传工作设施的信（xìn）息安全； 

· 系统开发（fā）与维（wéi）护：明（míng）确系统（tǒng）安全要求，确保安（ān）全性已构成信息系统的一部（bù）份；加强应用（yòng）系统的（de）安全，防止应用（yòng）系统（tǒng）用户数据的（de）丢（diū）失（shī）、被修改或误用；加强密（mì）码技术控制，保护信息的保密性、可靠（kào）性（xìng）或完整性；加（jiā）强系统文件的（de）安（ān）全，确保 IT 方案及其支（zhī）持活动以（yǐ）安全的方式进（jìn）行；加（jiā）强开发和支持过程的安全，确保（bǎo）应（yīng）用系统软（ruǎn）件（jiàn）和信息的安全； 

· 商务连续性管理：防止商务（wù）活动的中断及保护（hù）关键商务过程不受（shòu）重大失误或灾难事故的影响； 

· 符合：符合（hé）法律法（fǎ）规要求，避免刑法、民法、有关法令法规或合同约定（dìng）事（shì）宜及其他安全要求（qiú）的规定相抵触；加强安全方针和技（jì）术（shù）符合性（xìng）评审（shěn），确保体系按照组织的安（ān）全方针及标准执（zhí）行；系统审（shěn）核（hé）考虑因素，使效果较大化 , 并使系统审核过程的影响较小化。 　 

在国际（jì）标准 ISO/IEC17799 给出了（le）为实（shí）现（xiàn）信（xìn）息安（ān）全认证所（suǒ）需的各（gè）项措施的详细指导，具（jù）有（yǒu）很强的可（kě）操作性和（hé）指导性。

归根结底，信息安（ān）全工作的（de）目的就是在法律、法规、政策的（de）支持与指导下（xià），通（tōng）过采用合适（shì）的安全技术与安（ān）全管理措施，提供安全需求（qiú）的保（bǎo）证，而 BS7799 信息安全认证标准正是总（zǒng）和了这些要求。组（zǔ）织（zhī）可以根据自身特点，在 ISO/IEC 17799 指导下（xià），实现信（xìn）息安全（quán）的（de）要求（qiú）。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信息安全管理的标准，是标（biāo）准（zhǔn）不是方法，达到这（zhè）些标准的要求并不难，重要的是用什么方法去实（shí）现。企业应将（jiāng）实（shí）施标准（zhǔn）作为改善内部管理的（de）一次机会，不应该（gāi）将标（biāo）准做为一（yī）种简单的模式对现有流（liú）程运作进行套用，应对现有的组（zǔ）织运作（zuò）流程进（jìn）行详细分析，有针对性地设（shè）计并改善现有（yǒu）管理体系、改善薄弱环节、改善（shàn）运作流程及内（nèi）部沟通，并有效地（dì）将先进的（de）管（guǎn）理思想融合到具体的实施程序中（zhōng），才（cái）能（néng）发挥（huī）标准的真正作用（yòng）。

获得认（rèn）证（zhèng）证（zhèng）书不是较终目（mù）的，建立有责、有序、有效的信息安全管理体系，提高员（yuán）工的（de）信息安全（quán）意识，不（bú）断获取（qǔ）并运用（yòng）先进的管理方法和技术手段才能使企业（yè）的信息安全管理水平得以持续的发展和提升。