信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可（kě）用性 (Availability) 的（de）保（bǎo）持。

•  保密性（xìng）：为保障信息仅仅为那些（xiē）被授权使用的人获（huò）取。

 信息的保密性（xìng）是（shì）针（zhēn）对信息（xī）被允（yǔn）许访问（ Access ）对象的多少而不同，所有人（rén）员都可以访（fǎng）问（wèn）的（de）信息为公开信息，需要（yào）限制访问的信息一（yī）般为敏感（gǎn）信息或秘密，秘密可以根据信（xìn）息的重要（yào）性（xìng）及保密要求分为不同的密（mì）级，例（lì）如国家（jiā）根据秘密泄（xiè）露对国家经济、安全利（lì）益（yì）产生（shēng）的影（yǐng）响（后果）不同（tóng），将国家秘密分为（wéi）秘密（mì）、机密和绝密三个等级（jí），组织可根据（jù）其信息安全（quán）的实际（jì），在符合《国家保密法》的前（qián）提下（xià）将其信息划分为不同的密级（jí）；对于（yú）具体的信息（xī）的保密性（xìng）有时效性，如秘（mì）密到期（qī）解密等（děng）。

 •  完整性：为保（bǎo）护信（xìn）息及其处理方（fāng）法的（de）准确性和完整性。

信息（xī）完（wán）整性一方（fāng）面是指信息在利用、传输、贮存等过（guò）程中不被篡改、丢失、缺损等，另一方面是指信息处理的方法的正确（què）性。不正当的操作，如误删除文件，有可能（néng）造（zào）成重要文件的丢失。

 •  可用性（xìng）：为（wéi）保障授（shòu）权使用人在需（xū）要时可以获取信息和使用相关的资（zī）产（chǎn）。

信息的可用性是（shì）指信息及相关的信息资（zī）产在授权人需要的时候，可以（yǐ）立即获得（dé）。例如通信线路中断故障会（huì）造成信息的在一段（duàn）时间内（nèi）不可用，影响正常的商业运（yùn）作（zuò），这是信息可（kě）用（yòng）性的破坏。不同类型的（de）信息（xī）及相应资产的信息（xī）安全在保密性、完整性及可用性（xìng）方面关注点不同，如组织的专有技术、市场营销计划等商业秘密对组织来讲（jiǎng）保守（shǒu）机密（mì）尤其重要（yào）；而对于工业自动控制（zhì）系统，控（kòng）制信息的完整性相对其保密性重（chóng）要得（dé）多。

为什（shí）么需（xū）要（yào）信息安全？

信息、信（xìn）息处理（lǐ）过程及（jí）对信（xìn）息起支（zhī）持作用的（de）信息系统（tǒng）和（hé）信息网络都是重要的商务（wù）资（zī）产。信（xìn）息的保密性、完（wán）整（zhěng）性和（hé）可用性（xìng）对保持竞（jìng）争优势、资金流动、效益、法律符合性和商业形象都（dōu）是至关重要的。然而，越来越多的组织及其信息（xī）系统（tǒng）和网络面（miàn）临着（zhe）包括计算机诈（zhà）骗、间（jiān）谍、蓄意破坏、火灾（zāi）、水灾等（děng）大范围的安全威胁，诸如（rú）计算机病毒、计算机入（rù）侵、 Dos 攻击等手段造（zào）成的信息灾难已变得（dé）更（gèng）加普遍 , 有计划（huá）而（ér）不易被（bèi）察觉。组织对信息系统（tǒng）和信息（xī）服（fú）务的依赖（lài）意味着更易受到（dào）安全（quán）威胁的破坏，公共和私人网络的互连（lián）及信（xìn）息资源的共享增大（dà）了实现访（fǎng）问控制（zhì）的难度。许（xǔ）多（duō）信息系统本身就不是按照安全系统的要求来设计的，所以仅依（yī）靠技术手（shǒu）段（duàn）来实现信息安全有其局限性（xìng），所（suǒ）以信息安全的实现须（xū）得到管理和程序控制的适当支持。确定应（yīng）采取哪些控（kòng）制方式则需要周密（mì）计划，并（bìng）注意细节。信（xìn）息安全管理至少需要组织中的（de）所（suǒ）有雇员（yuán）的参与，此外还需要供（gòng）应商、顾客或股（gǔ）东的参与和信息安全的专家建议。在信息系统（tǒng）设计阶段就（jiù）将安（ān）全要求和控制一体化（huà）考虑，则成（chéng）本会更（gèng）低、效率会更高。

 BS7799的（de）信息管理（lǐ）过程：

①确定信息安（ān）全管理方（fāng）针。

②确定（dìng） ISMS( 信息（xī）安全管理体系) 的范围

③进（jìn）行风险分析（xī）。

④选择控制目标并进行控制。

⑤建立业务（wù）持续计（jì）划。

⑥建立（lì）并实（shí）施安全管理体系。

 建立（lì）信息安（ān）全管理体系的作用：

 任（rèn）何组（zǔ）织，不论它（tā）在信息技术方面如何（hé）努（nǔ）力以（yǐ）及（jí）采纳如何新的信息安全技术，实（shí）际上在（zài）信息安全管理方面都还（hái）存在漏（lòu）洞，例如：

· 缺少（shǎo）信息安（ān）全管（guǎn）理（lǐ）论坛，安全导向不明确，管理支持（chí）不明（míng）显； 

· 缺少跨部门（mén）的信息安全协调机制； 

· 保护特定资产（chǎn）以及完（wán）成特定安全过程的职责还不明确（què）； 

· 雇员信息安全意识薄弱（ruò），缺少防范（fàn）意识，外来人员很容（róng）易直接（jiē）进（jìn）入生产和（hé）工（gōng）作场所（suǒ）； 

· 组织信（xìn）息系统管理制度不够（gòu）健全； 

· 组织信息系统主机房安全存在隐（yǐn）患，如：防（fáng）火设施存（cún）在问题，与危险品仓库同处一幢办公楼等； 

· 组（zǔ）织（zhī）信息系统备份（fèn）设备仍（réng）有欠缺； 

· 组织信（xìn）息（xī）系统安全防范技术投（tóu）入欠缺（quē）； 

· 软件知识产权保护（hù）欠缺； 

· 计算机（jī）房、办公场所（suǒ）等（děng）物理防范措施欠缺； 

· 档案、记录等缺少可靠贮存场所； 

· 缺少（shǎo）一旦发生意外（wài）时的保证生（shēng）产经营（yíng）连（lián）续（xù）性的措施（shī）和计（jì）划； 

        ……等等。

为什么要建立和实施ISO27001信息安全管理体系认证（2）

其实，组织可以参照信息（xī）安（ān）全管理模型（xíng），按照先进的（de）信息安全管（guǎn）理标准 BS7799 标准建立组织完整的信息安全管理体（tǐ）系（xì）并实施与保（bǎo）持，达到动态的、系统（tǒng）的、全员参与、制度化的、以预防为（wéi）主的信（xìn）息安全管（guǎn）理方式，用较低的成本，达到可接受的信息安全水平，就（jiù）可以（yǐ）从（cóng）根本上保证业务（wù）的连续性（xìng）。组织建立、实施与保持信（xìn）息安全管理体（tǐ）系将会产生如下作用（yòng）：

· 强化员工的信息安全意识，规范（fàn）组织信息安全行为； 

· 对（duì）组织（zhī）的关（guān）键信（xìn）息资产进行全（quán）面系统的保护，维持竞争优势； 

· 在信息（xī）系统受到（dào）侵袭时，确保（bǎo）业务持续（xù）开展并将损失（shī）降（jiàng）到较（jiào）低程度； 

· 使组（zǔ）织的生意伙伴和客户对组（zǔ）织充满信（xìn）心； 

· 如果通过体系认证，表明体系符合标准，证明组织有能力保障（zhàng）重要信息，提高组织的（de）名度与信任度（dù）； 

· 促使管理层坚持贯彻信息安（ān）全保障体系。 

BS7799标准（zhǔn）概（gài）述：

· 1995 年，英国贸（mào）工部根据英（yīng）国国（guó）内企业对信息安全日益高涨的呼声（shēng），组织大企业的（de）信息安全经理（lǐ）们，制定了（le）世界上第一（yī）个（gè）信息安全管理（lǐ）体系标（biāo）准 BS7799-1 ： 1995 《信息安（ān）全管（guǎn）理实施规则》，作为（wéi）工商（shāng）业和大（dà）、中、小型组织（zhī）实施信（xìn）息安全管理（lǐ）的指南。由于该标（biāo）准采用建议和指导（dǎo）方式编写，因而不（bú）宜作为认证标（biāo）准使用。 

· 1998 年，为了适应第三（sān）方（fāng）认证的需要，英国（guó）又制定（dìng）了第一个（gè）信息安全管（guǎn）理体系（xì）认证标准 --BS7799-2 ： 1998 《信息安全（quán）管理体系规范》，作为对一个组织的全部或部（bù）分信（xìn）息安全管理（lǐ）体系进行评审认（rèn）证（zhèng）的依据标准（zhǔn）。 

· 1999 年，鉴于（yú）计算机和信息（xī）处理技术，尤其是网络（luò）和通信领域应用（yòng）的迅速（sù）发展（zhǎn），英国又对信息安全管理体（tǐ）系标（biāo）准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了（le） BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修订的 1999 版标准进一（yī）步（bù）强调了组织在商务工作（zuò）中所涉及的（de）信息安全和信息（xī）安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套（tào）标（biāo）准， BS7799-1 ： 1999 为如何建立和实施符合 BS7799-2 ： 1999 标准（zhǔn）要求（qiú）的信（xìn）息安全管理体系（xì）提供（gòng）了较佳（jiā）的应用建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正式采纳（nà）成为国际标准 -- ISO/IEC 17799 ： 2000 《信息（xī）技术—信（xìn）息（xī）安全管理实（shí）施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本修订后成（chéng）为可用于认证的 ISO/IEC 的《信（xìn）息安全管（guǎn）理体系规范》。 

信（xìn）息安全认证是实（shí）现信（xìn）息（xī）安全（quán）目标的较佳途径（jìng）：

BS7799-2：2002信息（xī）安全管理体系规范向组织（zhī）提出了一系列认证的要求（qiú），在总则中提出（chū）组（zǔ）织（zhī）应建立并保持一个文件化的信息安（ān）全管理体系，阐述被保护的资产、组织风险管（guǎn）理的（de）渠道、控制目标（biāo）及控制（zhì）方式和需要的保（bǎo）证等级；通过建立管理架（jià）构并加以实施来（lái）达到（dào）识别控制目标和控制方式，并（bìng）形成文件（jiàn）和记录。

BS7799-2：2002的控制细则（zé）包括10个方面： 　

· 安全（quán）方针：为信息（xī）安（ān）全提供管（guǎn）理指导（dǎo）和支持； 

· 组织安全：建立信（xìn）息安（ān）全架构，保证组织的内部管理；被第三方访问或外协时（shí），保障（zhàng）组（zǔ）织的（de）信息安全； 

· 资产（chǎn）的归类与控制：明确资产责任，保持对组（zǔ）织资产的适当保（bǎo）护（hù）；将（jiāng）信（xìn）息进行归类，确保信息资（zī）产受到适当程度的保护（hù）； 

· 人员（yuán）安全：在工作说明和资源（yuán）方面，减少（shǎo）因（yīn）人（rén）为错（cuò）误、盗（dào）窃、欺诈和设（shè）施（shī）误（wù）用造成的风险；加强用户培（péi）训，确保用（yòng）户清楚知道信（xìn）息安全的（de）危险性和相关事（shì）项，以便在他们的日常工作中（zhōng）支持组（zǔ）织的安全方针；制定安全（quán）事故或故障的反应程序，减少（shǎo）由安全事故（gù）和故（gù）障造（zào）成的损失（shī），监控安全事（shì）件（jiàn）并从这（zhè）种（zhǒng）事件（jiàn）中吸取教训（xùn）； 

· 实（shí）物与环境安全：确定安全区域，防止非授权访问、破坏、干（gàn）扰商务场所和信息；通过保障设备安（ān）全，防止资产的（de）丢失、破（pò）坏、资产危害及商务活动的中断；采用（yòng）通用（yòng）的控制方式，防止信息或信息处理设施（shī）损坏或（huò）失窃； 

· 通信和操作方式管（guǎn）理：明确操作程序及其责任，确（què）保信息（xī）处（chù）理设施的正确、安全操作；加强系统（tǒng）策划与验收，减少系统失效风险；防（fáng）范（fàn）恶意软件以保持软件（jiàn）和信息的完整性；加强内务管理以（yǐ）保持信息处（chù）理和通讯服务的完整性和有效（xiào）性（xìng）通过 ; 加强网络管（guǎn）理（lǐ）确保网络中的信息（xī）安全及其辅助设施受（shòu）到保护；通过保护媒体（tǐ）处理的安全 , 防止资（zī）产损坏和商务活动（dòng）的中断；加强（qiáng）信息和软件的交换的管（guǎn）理，防止组织间在交（jiāo）换信息时发（fā）生丢失、更改和误用； 

· 访问控制：按照访问（wèn）控制的（de）商（shāng）务要求（qiú），控制信息访问；加（jiā）强用户访（fǎng）问管（guǎn）理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访（fǎng）问；加强网（wǎng）络（luò）访问控制，保护网络（luò）服务程（chéng）序（xù）；加强操作系统访问控制 , 防止非授权的计算机访问；加强应用访问（wèn）控制，防止非授（shòu）权访（fǎng）问系统中（zhōng）的信息；通过监控（kòng）系（xì）统的访问与（yǔ）使用，监测非授权行为；在移动式计算和电传工作方面 , 确保使用移动式（shì）计算（suàn）和电传工作（zuò）设施的信息安（ān）全； 

· 系统开发（fā）与维护（hù）：明确（què）系统安全要求（qiú），确保安全性（xìng）已（yǐ）构成信息（xī）系统（tǒng）的一部（bù）份；加（jiā）强应用系统的安全，防止应用系（xì）统（tǒng）用户数据的丢失、被修改或误用；加强密（mì）码技（jì）术控制，保（bǎo）护信息的保密（mì）性、可靠性或（huò）完整性；加（jiā）强系统文件的（de）安全，确保 IT 方（fāng）案及其支持活（huó）动以安（ān）全的方式进行；加强开发和（hé）支持（chí）过程的安全，确保应用系统（tǒng）软件和信息的（de）安全； 

· 商务（wù）连续（xù）性管理：防止商务活（huó）动的（de）中断及保（bǎo）护关（guān）键商务过（guò）程不受重大失误或灾难事故的影（yǐng）响； 

· 符合：符合法律法规要求，避免（miǎn）刑法（fǎ）、民法（fǎ）、有关（guān）法令法（fǎ）规或合同约定事宜及其他安全要求（qiú）的规定相抵触；加强（qiáng）安全方针和技（jì）术符合性评（píng）审（shěn），确保（bǎo）体（tǐ）系按照组织的安（ān）全方针（zhēn）及标准执行；系统审核考虑因素，使效果较大化 , 并使系统审核过程（chéng）的影响较（jiào）小（xiǎo）化。 　 

在国际标准 ISO/IEC17799 给出了为（wéi）实现信息安全认证所需的各项措施的详（xiáng）细指导，具有很强的可操作性和指导性。

归根结底，信息安全（quán）工作的目的就（jiù）是在法律、法规（guī）、政策的（de）支持与指导下，通过（guò）采用合适的安（ān）全技术（shù）与（yǔ）安全管理措（cuò）施，提供安全需求的保证，而 BS7799 信（xìn）息安全认证标（biāo）准正（zhèng）是（shì）总和了这些要求。组织（zhī）可以根据自（zì）身特点，在（zài） ISO/IEC 17799 指导下，实现（xiàn）信（xìn）息安全的要求。

 ISO27001：2005 《信息安全管理体系要（yào）求》

 ISO27001 ： 2005 《信（xìn）息安（ān）全管理体系（xì）要求》是关（guān）于信息安全管理的（de）标准，是标准（zhǔn）不是方法，达到这些标准的要求并不难，重要的是用什么方法（fǎ）去实现。企业（yè）应将实施标准作为改善（shàn）内部管理的一次机会（huì），不应（yīng）该（gāi）将标准做为一种简单的（de）模式对现有流程运（yùn）作（zuò）进行套用，应对现有的组织运作流程进行详（xiáng）细分析，有针对性地（dì）设（shè）计并（bìng）改善现有管理体系、改（gǎi）善薄弱（ruò）环（huán）节、改善运作流程及内（nèi）部沟（gōu）通，并有效地将（jiāng）先进的管理思想（xiǎng）融合到（dào）具（jù）体的实施程序中，才能发挥（huī）标准的真正作用。

获得认（rèn）证证书不是较终目的，建立（lì）有责、有序、有效（xiào）的（de）信息安（ān）全（quán）管理体系，提高员工的信息安全意识（shí），不断获取并运用先进的管理方法和技术手（shǒu）段（duàn）才能使（shǐ）企业的信息安全管理水平（píng）得以（yǐ）持续（xù）的发展和（hé）提升。