信息安全 (Information security): 是指信息的保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性（xìng）：为保障信息仅仅为（wéi）那些被（bèi）授权使（shǐ）用的人获（huò）取（qǔ）。

 信息的保（bǎo）密性是针对信息（xī）被允许访问（ Access ）对象的多少而不同，所有人员都可以访问的（de）信息为公开信息（xī），需（xū）要限制访问（wèn）的（de）信息一般为敏感信息或秘密，秘密可以根据信息的重要性及保密要（yào）求（qiú）分（fèn）为不同的密级（jí），例如（rú）国家根据秘密泄露对国家经济、安全利益产生的影响（后果）不同，将（jiāng）国家秘（mì）密（mì）分为秘密（mì）、机密和绝（jué）密三个等级，组织可根（gēn）据其信息（xī）安全的实际，在符合（hé）《国（guó）家保密法（fǎ）》的前提下将其信（xìn）息划分为不同的密级；对于具（jù）体的信息（xī）的保密性有时效性，如秘密到期解密等。

 •  完整性：为保护信息及其处理方法的准（zhǔn）确性（xìng）和完整性。

信（xìn）息完整性一方面是指信（xìn）息在利用、传输、贮存等过程中（zhōng）不被篡改、丢失、缺损等，另一方面是指信（xìn）息处理的方法的正确（què）性（xìng）。不（bú）正当（dāng）的操作，如误删除文件（jiàn），有可（kě）能（néng）造成重要文件的丢失。

 •  可用性：为保障授权使（shǐ）用人在需要时可以获取信息（xī）和使用相关的资产。

信息的可用性是指信息及（jí）相关（guān）的信息资产（chǎn）在授权人（rén）需要的时候，可以立即获得。例如通信线路中断故障会（huì）造成信（xìn）息的在一段时间内不可（kě）用，影响正常（cháng）的商业运作，这是信息可（kě）用性的（de）破坏。不同类型（xíng）的信息及相应（yīng）资（zī）产的信息安全（quán）在（zài）保密（mì）性、完整性及可（kě）用性（xìng）方面关注点（diǎn）不同，如组织（zhī）的专有技术、市场营（yíng）销计划等商业秘密对组织来（lái）讲保守机密（mì）尤其重要；而对于工业自动控制系统，控制信息的完整性相对其保（bǎo）密性重（chóng）要（yào）得多（duō）。

为什么需要信息安全？

信息、信息处理过程及（jí）对信息（xī）起支持作（zuò）用的信息系（xì）统和信息网络都是重要的商务资产。信（xìn）息的保密（mì）性（xìng）、完整性和可用性对保持竞争优势、资金流动、效益、法（fǎ）律符合性和商业形象都是（shì）至关重要的。然而，越来越多（duō）的组织及其信息系统和网络面临着包括计（jì）算机诈骗、间（jiān）谍、蓄（xù）意破坏、火（huǒ）灾、水灾等大范围的安全威胁，诸（zhū）如计算机病（bìng）毒、计算机（jī）入侵（qīn）、 Dos 攻击等手（shǒu）段造成的信息灾（zāi）难已变得更加普（pǔ）遍 , 有计划而（ér）不易被（bèi）察觉。组织对信（xìn）息系统和信息（xī）服（fú）务的依赖意味着更易受到安全威（wēi）胁的破坏，公共和（hé）私人网（wǎng）络（luò）的（de）互连（lián）及（jí）信息（xī）资源的共享增大了实现访（fǎng）问控制的（de）难度。许多信（xìn）息系（xì）统本身就不是（shì）按照（zhào）安全系统（tǒng）的要求（qiú）来设计的，所以仅（jǐn）依靠技术手段来实现（xiàn）信息安全有其局限性，所以信息安全的实现须（xū）得（dé）到管理和（hé）程序控制的适（shì）当支持。确定（dìng）应采（cǎi）取（qǔ）哪些控制方式则需要周密（mì）计划（huá），并（bìng）注意（yì）细节。信息安全管理至少需（xū）要组织（zhī）中（zhōng）的所（suǒ）有（yǒu）雇员的参与，此（cǐ）外还（hái）需（xū）要（yào）供（gòng）应商、顾客（kè）或股东的参（cān）与（yǔ）和信息安全的（de）专家建议。在信息系统设计（jì）阶段就将安全要求和控制一体化考虑，则成本会更低、效率会更（gèng）高。

 BS7799的信息管理过程：

①确定信（xìn）息安全管（guǎn）理方针。

②确定 ISMS( 信息安全（quán）管理体系) 的范（fàn）围

③进（jìn）行风险分析。

④选择控制目标并进行（háng）控制。

⑤建立（lì）业务持续计划。

⑥建立并（bìng）实施安全管（guǎn）理体系（xì）。

 建立信息安全管理（lǐ）体系的作用：

 任何组织，不论（lùn）它在信息技术方面如（rú）何努力（lì）以（yǐ）及采纳如何新的信息安全技（jì）术，实际（jì）上在信息安全管理方面都（dōu）还存在漏洞，例如：

· 缺少信息安全管理论坛，安（ān）全（quán）导向不明确（què），管理（lǐ）支持不（bú）明显； 

· 缺少跨部门的信息安全协（xié）调机制； 

· 保护特定资产以（yǐ）及完成特定安全过程（chéng）的职责还不（bú）明确（què）； 

· 雇员信（xìn）息（xī）安（ān）全意（yì）识薄弱，缺少防（fáng）范意识，外来人员很容易（yì）直接（jiē）进入生产和（hé）工作（zuò）场（chǎng）所； 

· 组（zǔ）织信息系统（tǒng）管理制（zhì）度不够健（jiàn）全； 

· 组织（zhī）信（xìn）息系统主机（jī）房安（ān）全存在隐患，如：防火设施存在问题，与危险品仓（cāng）库同（tóng）处一幢办公（gōng）楼等； 

· 组织信息系统（tǒng）备份设备仍有欠缺； 

· 组（zǔ）织信（xìn）息系统（tǒng）安全防范技（jì）术投（tóu）入欠缺； 

· 软件知识产权保护欠缺； 

· 计（jì）算机房、办公场所等物理防范措（cuò）施（shī）欠（qiàn）缺； 

· 档案、记录等（děng）缺少（shǎo）可靠贮（zhù）存场所； 

· 缺少一旦发生意外时的保证生产经营（yíng）连续性的措施和计划； 

        ……等等。

为什么要建立（lì）和实施ISO27001信息安全管理体（tǐ）系认证（2）

其实，组织可以参照信息安全管（guǎn）理模型，按照先进（jìn）的信息安全（quán）管理标准 BS7799 标准建立组织（zhī）完整的信息安全管理体系并实施与（yǔ）保持，达到动态的、系（xì）统的、全员参与、制度化的、以预防（fáng）为主（zhǔ）的信息（xī）安全管（guǎn）理方式，用较低的成本，达到可接受的信息安全水平，就可以从根本上保证（zhèng）业（yè）务的连续性。组织建立、实施与保持信息安全管理体系将会产生如下（xià）作用：

· 强化（huà）员工的信（xìn）息安全意（yì）识，规范组（zǔ）织信息安全行（háng）为（wéi）； 

· 对（duì）组织的关键（jiàn）信息（xī）资产进行全面系（xì）统的保护，维持竞争优势； 

· 在信息系统受到（dào）侵袭时，确保业务持续（xù）开展并将损失降到（dào）较低程度； 

· 使组（zǔ）织的（de）生（shēng）意伙伴和客户对（duì）组织（zhī）充满信心； 

· 如果通（tōng）过体系认证，表明体系（xì）符合标准，证明（míng）组（zǔ）织有能力（lì）保障（zhàng）重要（yào）信（xìn）息，提高组（zǔ）织（zhī）的名度（dù）与信任度； 

· 促使（shǐ）管理层坚持贯彻信息安全保障体系。 

BS7799标准概（gài）述：

· 1995 年，英国贸（mào）工部根据英国国内企业对（duì）信息安全日益（yì）高涨的呼声，组（zǔ）织大企业的信息（xī）安全经理们，制定（dìng）了（le）世界上第一（yī）个信息安全管理（lǐ）体系标（biāo）准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大（dà）、中、小（xiǎo）型组织（zhī）实施信（xìn）息（xī）安全管理（lǐ）的（de）指南（nán）。由（yóu）于该标准采用建（jiàn）议和指导方式（shì）编（biān）写（xiě），因而不宜（yí）作为认（rèn）证标准使（shǐ）用。 

· 1998 年，为了适应第三方认证（zhèng）的需（xū）要，英国又制定（dìng）了第一个（gè）信息安全管理体（tǐ）系认证标（biāo）准 --BS7799-2 ： 1998 《信息安全（quán）管理体系（xì）规范》，作为对一（yī）个组织的（de）全部或部（bù）分信息安全（quán）管理体系进行评审认证（zhèng）的依（yī）据标准（zhǔn）。 

· 1999 年，鉴（jiàn）于计算（suàn）机和信息处理技术，尤其是网络（luò）和通（tōng）信领域应用的（de）迅速发（fā）展，英国又对信（xìn）息安全管理体系标准进行（háng）了修（xiū）订。修订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了（le） BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修订的 1999 版（bǎn）标（biāo）准进一步强（qiáng）调了组织在商（shāng）务工作中（zhōng）所涉及的信息安全和（hé）信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建立和（hé）实施符合（hé） BS7799-2 ： 1999 标准要求的信息安全管理体系（xì）提（tí）供了较（jiào）佳的应（yīng）用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已（yǐ）经被 ISO/IEC 正（zhèng）式采纳成为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息技术—信（xìn）息（xī）安全管理实施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为（wéi）蓝（lán）本修订后成为可用于认证的 ISO/IEC 的《信息安（ān）全管理体系规范（fàn）》。 

信息安全认证是实（shí）现信息安全目标的较佳途径：

BS7799-2：2002信（xìn）息安（ān）全（quán）管理体系规范向（xiàng）组织提出了一系列（liè）认证（zhèng）的要求，在总则中提出组（zǔ）织应建立（lì）并保持一个文件化的信（xìn）息安全管理体系，阐述被保（bǎo）护的资产、组（zǔ）织（zhī）风险管（guǎn）理的渠道、控（kòng）制目标（biāo）及控（kòng）制方式和（hé）需要的保证等级；通（tōng）过建立管理架（jià）构并加以实施来达到识别控制目标和（hé）控制方式，并形成文件和记（jì）录。

BS7799-2：2002的控制细（xì）则包括10个方面： 　

· 安全方（fāng）针（zhēn）：为信息安全提供管（guǎn）理指导和支持； 

· 组（zǔ）织安全（quán）：建立信息安全架构，保证组（zǔ）织（zhī）的内（nèi）部管理；被第三方访问或外协（xié）时（shí），保障组织的（de）信息（xī）安全； 

· 资产的（de）归类与控（kòng）制：明确资（zī）产责任（rèn），保持对组（zǔ）织资产的适当保护；将信息进行归类，确保（bǎo）信息资产受到适当程度的保护； 

· 人员安全（quán）：在工作说明和资源方面，减少因人为错误、盗窃、欺诈（zhà）和设施误用造成的风险（xiǎn）；加强（qiáng）用户培训，确保用户清楚（chǔ）知道信息安全的危（wēi）险性和相关事项，以便（biàn）在他们的（de）日常工作中支持（chí）组织（zhī）的（de）安全方针；制定安全（quán）事故或故障的反应程序，减少由安全事（shì）故（gù）和故（gù）障造成的损失，监控安全事（shì）件并从这种事件（jiàn）中吸取教训； 

· 实物与环境安全：确定安全（quán）区域，防止非授权访（fǎng）问（wèn）、破坏、干扰商务场所和信（xìn）息；通（tōng）过（guò）保障设备安全，防止资产的丢失、破坏、资产危害（hài）及商务活动的中断；采用（yòng）通用的控制方式，防止信息或信（xìn）息处理设施损（sǔn）坏或失窃； 

· 通信和（hé）操（cāo）作（zuò）方式管理（lǐ）：明（míng）确操作（zuò）程序及其责任，确保信息处理设施的正确、安（ān）全操（cāo）作；加强系统策（cè）划与验收，减（jiǎn）少系（xì）统（tǒng）失效风（fēng）险；防范恶意软件（jiàn）以保持（chí）软件和信息的完（wán）整性；加（jiā）强（qiáng）内务管理以（yǐ）保持信息处理（lǐ）和通讯服务（wù）的完整性和有效性通过 ; 加强（qiáng）网络管理确保网络中的（de）信息安全（quán）及其辅助设施受到保护（hù）；通过保护媒体（tǐ）处理的（de）安全 , 防止资产损坏（huài）和商务活动的中断；加强信息和软（ruǎn）件的（de）交换的管理（lǐ），防（fáng）止组织间在交换信息时发（fā）生丢失、更改和误用； 

· 访问控制：按照访问控制的商务要求，控制信息访问；加强用户访问管理，防（fáng）止（zhǐ）非授权访问信息系（xì）统；明确用户职责，防止非授（shòu）权的用户访问；加强（qiáng）网络访（fǎng）问（wèn）控制，保护（hù）网（wǎng）络服务程序（xù）；加强（qiáng）操作系（xì）统访问控制 , 防止（zhǐ）非授（shòu）权的计算机访问；加强应用访问（wèn）控制，防（fáng）止（zhǐ）非（fēi）授（shòu）权访（fǎng）问系统中的信息（xī）；通过监（jiān）控系统（tǒng）的访问与使用，监测非（fēi）授（shòu）权（quán）行为；在移（yí）动（dòng）式计算和电传工（gōng）作（zuò）方面 , 确保使用（yòng）移动（dòng）式计算（suàn）和电传工作设施的信息安（ān）全（quán）； 

· 系统开发与维护：明确系统安全要求（qiú），确（què）保安全（quán）性已构成信息（xī）系统的（de）一部份；加（jiā）强应用系（xì）统的安（ān）全（quán），防止（zhǐ）应（yīng）用系统（tǒng）用户数据（jù）的丢失、被修（xiū）改或误用；加（jiā）强密码技术控制，保（bǎo）护信（xìn）息的（de）保密（mì）性、可（kě）靠性或完整性；加强系统文（wén）件的（de）安全，确保 IT 方案及其支持活动（dòng）以安全的方式进行（háng）；加强开（kāi）发和支持过程的安全，确保应用系统软件和信息的安全； 

· 商务连（lián）续性（xìng）管理：防止商务活动（dòng）的中断（duàn）及保护关键商（shāng）务过程不受重大失误或灾难事故的影响（xiǎng）； 

· 符合：符（fú）合法律法规要求，避免刑法、民法（fǎ）、有关法（fǎ）令法规（guī）或合同（tóng）约定事宜及其他安（ān）全要求（qiú）的规定（dìng）相抵触；加强安全方（fāng）针和技（jì）术（shù）符合性评审（shěn），确保体系按照组织的安全方针及标（biāo）准执行；系统审（shěn）核（hé）考虑因素，使效果（guǒ）较大化（huà） , 并（bìng）使系统审核过程的（de）影响较小化。 　 

在国际标准 ISO/IEC17799 给出（chū）了为实（shí）现信息（xī）安全认证所需（xū）的（de）各项措施的（de）详（xiáng）细指导，具有很强的可操（cāo）作性和指导性。

归根结底，信（xìn）息安（ān）全工作的目的就是在法律、法（fǎ）规、政策（cè）的支持（chí）与指导（dǎo）下，通（tōng）过采用合（hé）适的（de）安全（quán）技术与安全（quán）管理措施，提供（gòng）安全需（xū）求的保证，而 BS7799 信息安全认证标准正（zhèng）是总和了这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息（xī）安（ān）全管理体系要求》

 ISO27001 ： 2005 《信息安全管（guǎn）理体系要求》是关于信息安全管理的标准，是标准不是方法，达（dá）到这些标准的要求并不（bú）难（nán），重要的是用什么（me）方法去实现。企业应（yīng）将实施标准作为改（gǎi）善内（nèi）部管理的一次机（jī）会，不应该将标准（zhǔn）做为一种简单的模式对现有流程运作进行套用，应对现有（yǒu）的组织运作流程进行详（xiáng）细（xì）分（fèn）析，有针对性地设计（jì）并（bìng）改（gǎi）善（shàn）现有管理体系、改善（shàn）薄弱环节、改（gǎi）善运作流程及内（nèi）部沟通（tōng），并（bìng）有（yǒu）效地将先（xiān）进的管理思想融合到（dào）具体的实施程序（xù）中，才能发挥标准的真正作用（yòng）。

获得认证证书不是（shì）较终（zhōng）目的（de），建立有责、有序、有效的信息安全（quán）管理体系，提高员工的信息安全意（yì）识，不（bú）断获取并运用先进（jìn）的（de）管理（lǐ）方法和（hé）技术手段才能使企业（yè）的信（xìn）息（xī）安全管理水平（píng）得以持续的发展和提升（shēng）。