信息（xī）安全 (Information security): 是指信（xìn）息的保密性 (Confidentiality) 、完整性 (Integrity) 和可（kě）用性 (Availability) 的保持。

•  保密（mì）性：为保障信息仅仅（jǐn）为那些被授（shòu）权（quán）使用的人获取（qǔ）。

 信息的保密性是（shì）针（zhēn）对信息（xī）被允许访问（ Access ）对（duì）象的多（duō）少而不同，所有人员都可以访（fǎng）问的信息为公开（kāi）信息（xī），需要限（xiàn）制访问（wèn）的信息一般（bān）为敏感信息或秘密（mì），秘密可以根据信息的重要性及保密要求分为不同的密级（jí），例如（rú）国家根据秘密泄露对（duì）国家（jiā）经济、安（ān）全利益产生的影响（后果）不同（tóng），将国家秘密（mì）分为秘密、机（jī）密和绝密三个（gè）等级，组织（zhī）可根（gēn）据其信息安全的实际，在符（fú）合《国家保密法》的（de）前提下将其信息划分为不同的密级；对于具体的信息的保密性有时效性，如秘密到（dào）期解密等。

 •  完整性：为保护信息（xī）及其处理方法的准确性和完整性。

信息完整（zhěng）性一方（fāng）面是指信息在利用、传输、贮存等过程中不被篡改（gǎi）、丢失、缺损等，另一方（fāng）面（miàn）是指信息（xī）处理的方法的正确性。不正当的操作，如误删（shān）除（chú）文（wén）件（jiàn），有可（kě）能造（zào）成（chéng）重要文件的丢失。

 •  可（kě）用性：为保障授权使用人在（zài）需（xū）要（yào）时可以获取信息和（hé）使用相关（guān）的资产。

信息的可用性是指信息及（jí）相关的信息资产在授权人需要的时候，可以立即获得。例如通（tōng）信线路中断（duàn）故障会造成信息的在一段时间内不可用，影（yǐng）响正常（cháng）的商业运作，这是信息（xī）可用性的破（pò）坏。不同类型的信息（xī）及（jí）相应资产的信息安（ān）全在保（bǎo）密（mì）性（xìng）、完整性（xìng）及（jí）可用性方面关注点不同，如（rú）组（zǔ）织（zhī）的专有技术、市（shì）场营销计划（huá）等商业秘密对组织来讲保守机密尤其重要；而对于工业（yè）自动控制（zhì）系统，控制信息的（de）完整性（xìng）相对（duì）其保密性重要得多。

为什么（me）需要信息安全？

信息、信息（xī）处理过程及对信息（xī）起支持作（zuò）用的信息系统和信息网络（luò）都是重要的（de）商务资（zī）产。信息的保密性（xìng）、完整性和可用（yòng）性对保持竞争（zhēng）优势、资金（jīn）流动、效益、法律符（fú）合（hé）性和商业（yè）形（xíng）象都是至关重要的。然而，越（yuè）来越多的组（zǔ）织及（jí）其信息（xī）系统和网（wǎng）络面临着包括计算机诈骗、间谍、蓄意破坏、火（huǒ）灾、水灾等（děng）大范围的（de）安全威胁，诸如计算机病毒、计算机入侵、 Dos 攻击等（děng）手（shǒu）段造成的信（xìn）息灾难已变（biàn）得更加普（pǔ）遍 , 有计划而不易被察觉（jiào）。组织（zhī）对信息系统和信（xìn）息服务的依赖意味着更易（yì）受（shòu）到安全威（wēi）胁的破坏，公共和私人网络的互连（lián）及信息资源的共享（xiǎng）增大了实现访问控制的难度。许多（duō）信息（xī）系（xì）统本（běn）身就不是按照安全系（xì）统的要（yào）求来设计的（de），所（suǒ）以仅依（yī）靠（kào）技术手段（duàn）来实现信息安全（quán）有其局限性（xìng），所（suǒ）以信息安全的（de）实（shí）现须得到管理和程序控制（zhì）的适当支持。确定应采取哪些控制方式则需要周密（mì）计划（huá），并注意细节。信息安全管理至少需要组织中的所有雇员的参与，此外还（hái）需要供应（yīng）商、顾客（kè）或股（gǔ）东的参（cān）与和信息安全的（de）专家建（jiàn）议。在信（xìn）息系统设计阶段就将安全要求和控（kòng）制一体化考虑，则（zé）成（chéng）本（běn）会更（gèng）低、效率（lǜ）会更（gèng）高。

 BS7799的信息（xī）管理（lǐ）过程：

①确定（dìng）信息（xī）安全管理方针。

②确定 ISMS( 信（xìn）息（xī）安全管理体（tǐ）系) 的（de）范围（wéi）

③进行风险（xiǎn）分析。

④选择控制目（mù）标并进行控制。

⑤建立（lì）业（yè）务持续计划。

⑥建立并实施安全管理体系（xì）。

 建立信息安全管理体系的（de）作用：

 任何组（zǔ）织，不论它（tā）在信息技术方面如何努（nǔ）力以及采纳（nà）如何新的信息安全技术，实际上在信息安全管（guǎn）理方面都还存在漏洞，例如：

· 缺少信（xìn）息安全管理论坛，安全导向不明（míng）确，管理支持不明显； 

· 缺少跨部门的信息安全协（xié）调机制； 

· 保护特定资产以及完成特（tè）定安全过程（chéng）的职责（zé）还不明确； 

· 雇员信息安（ān）全（quán）意识薄弱，缺少（shǎo）防范意识，外来人（rén）员很容易直接（jiē）进入生（shēng）产（chǎn）和工作（zuò）场所（suǒ）； 

· 组（zǔ）织（zhī）信息系统管（guǎn）理制度不够健全； 

· 组织（zhī）信息系统主（zhǔ）机房安（ān）全存在隐患，如：防火（huǒ）设施存在问题，与危险品仓（cāng）库同处一幢办公楼（lóu）等； 

· 组（zǔ）织信息系统（tǒng）备（bèi）份设（shè）备（bèi）仍有欠缺（quē）； 

· 组织信息（xī）系统安（ān）全防范技术投入欠缺； 

· 软（ruǎn）件（jiàn）知（zhī）识产权保护欠缺； 

· 计算机（jī）房（fáng）、办公场所等物（wù）理防范（fàn）措施（shī）欠缺； 

· 档案、记录等缺少可靠贮存场（chǎng）所； 

· 缺少一旦发生意外时（shí）的保证（zhèng）生产经营（yíng）连（lián）续性的措施和（hé）计划（huá）； 

        ……等等（děng）。

为什（shí）么要（yào）建立和实（shí）施ISO27001信息（xī）安全管（guǎn）理体（tǐ）系认（rèn）证（2）

其实，组织可以参照信息安全管理（lǐ）模型，按照先进的信（xìn）息（xī）安全管（guǎn）理标准 BS7799 标准建（jiàn）立组织（zhī）完整的信（xìn）息安全管（guǎn）理体系并实施与保（bǎo）持，达到动态的（de）、系统的、全员参与、制度化的、以预防为主的信息安全（quán）管理（lǐ）方（fāng）式，用较低的成本，达到可接受的信息安全水平（píng），就可以从（cóng）根本上保证业务的（de）连续性。组织建立、实施与保持信息（xī）安全管理体系将会（huì）产生如下（xià）作用：

· 强化员工的信（xìn）息安（ān）全意识，规范组织信息安全行为； 

· 对组织的关键信（xìn）息（xī）资产进行全（quán）面系统的保护，维持竞争优势； 

· 在（zài）信息系统受到（dào）侵袭时，确（què）保业务（wù）持续（xù）开展（zhǎn）并将损失降到（dào）较低程度； 

· 使（shǐ）组织的生意伙伴和客户对组织充满信心（xīn）； 

· 如果通过体系（xì）认（rèn）证，表（biǎo）明体系符合标准，证明组织有（yǒu）能力保障重要信息，提高组（zǔ）织的名度与信任度； 

· 促使管理（lǐ）层坚持贯彻（chè）信息安（ān）全（quán）保障体系（xì）。 

BS7799标准（zhǔn）概述：

· 1995 年，英国贸工部根据英国国（guó）内（nèi）企业（yè）对信（xìn）息安全日益高涨（zhǎng）的呼声（shēng），组织大企业的信息安全经（jīng）理们，制定了世界上第一个信息安全管理体系标准 BS7799-1 ： 1995 《信（xìn）息安全管（guǎn）理实（shí）施规（guī）则（zé）》，作为工商（shāng）业（yè）和大、中、小型组织实施（shī）信息（xī）安（ān）全管理的指南。由于（yú）该（gāi）标（biāo）准采用建议和指导方（fāng）式编写，因而不宜作为认证（zhèng）标准使用（yòng）。 

· 1998 年，为了适应第三方（fāng）认证的需要，英（yīng）国又制定了第一（yī）个信（xìn）息安全管理体（tǐ）系（xì）认证标准 --BS7799-2 ： 1998 《信息（xī）安全（quán）管理体（tǐ）系规（guī）范》，作为对一个组织的全部（bù）或部分信息安（ān）全管理（lǐ）体系进行评审认证的依据（jù）标准。 

· 1999 年（nián），鉴于计算机（jī）和信息处（chù）理技术（shù），尤其是网络和通信（xìn）领域（yù）应用的迅速发展，英国又对信（xìn）息安全管理体系标准进行了修订（dìng）。修（xiū）订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别取（qǔ）代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的（de） 1999 版标（biāo）准进一步强调了组织在商（shāng）务工（gōng）作中所涉及的（de）信息安全和信（xìn）息安全（quán）责任（rèn）。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配（pèi）套标准， BS7799-1 ： 1999 为如何建立和实施符合 BS7799-2 ： 1999 标准要求（qiú）的信（xìn）息安（ān）全管（guǎn）理（lǐ）体系（xì）提（tí）供了（le）较佳（jiā）的应用建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已（yǐ）经被 ISO/IEC 正式（shì）采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息（xī）技术—信息安全（quán）管理实（shí）施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为（wéi）蓝本（běn）修订后成（chéng）为（wéi）可用于认证的 ISO/IEC 的《信息安全管理体系规范》。 

信（xìn）息安全（quán）认证（zhèng）是（shì）实现信息安全目标的较（jiào）佳途径：

BS7799-2：2002信息安全管（guǎn）理体（tǐ）系规范向组织提出了一系列认证的要求，在总则中提出组织应建（jiàn）立（lì）并保（bǎo）持一（yī）个文件化（huà）的信息（xī）安全管理体系（xì），阐述被保（bǎo）护的资产、组织风险管理的渠（qú）道、控（kòng）制目标及（jí）控制方式和（hé）需要的保证等级；通过建立（lì）管理（lǐ）架构并加以实施来达到（dào）识别控制目标（biāo）和控制方式，并形（xíng）成文件和记录。

BS7799-2：2002的控制细则（zé）包括10个方面： 　

· 安（ān）全方针：为（wéi）信息（xī）安（ān）全提供管（guǎn）理指（zhǐ）导和支（zhī）持； 

· 组（zǔ）织安全：建立信息安全（quán）架构（gòu），保证组织的内部管理；被（bèi）第（dì）三方访问或外协（xié）时，保障组织的信息（xī）安全； 

· 资产的归类与（yǔ）控制：明确（què）资产责任，保（bǎo）持对组织资产（chǎn）的适当保护；将信（xìn）息进行归类，确保信息资（zī）产受到（dào）适当程度的（de）保护； 

· 人员安全：在工作说明（míng）和资（zī）源方面，减少因（yīn）人为错误、盗窃（qiè）、欺诈和设施误（wù）用造成的风险；加强用户培训，确保用（yòng）户清（qīng）楚（chǔ）知道信（xìn）息安全的危险（xiǎn）性（xìng）和相关事项，以便在他们的日常工作中支持（chí）组织的安全（quán）方针；制定安全（quán）事故或故障的反应（yīng）程序，减少（shǎo）由安全事故和故障（zhàng）造成的损失，监控安（ān）全事件并从这种（zhǒng）事件中吸取教训； 

· 实物（wù）与环境安全（quán）：确定安全（quán）区（qū）域，防止非授（shòu）权（quán）访问、破（pò）坏、干（gàn）扰商务场所和信息；通过保障设备安全，防止资产的丢失、破（pò）坏、资（zī）产（chǎn）危害及商务活（huó）动的（de）中断（duàn）；采用通用的控制方式，防（fáng）止信息或信息处理（lǐ）设施（shī）损坏或失窃； 

· 通（tōng）信和操作方式管理（lǐ）：明确操作程序（xù）及其责任，确保信（xìn）息处理设施的正确、安全操作；加强系统策（cè）划与验收，减少系统失效风险；防范恶意（yì）软（ruǎn）件以保（bǎo）持软件和（hé）信息的完整性（xìng）；加（jiā）强内务管理以保持信息（xī）处理和（hé）通讯（xùn）服务的完整性和有效性通过 ; 加强（qiáng）网络管理确保网络（luò）中的信息安全及其（qí）辅助（zhù）设施受到保护；通过保护媒体处理的安全 , 防止资（zī）产损坏（huài）和商务活（huó）动的中断；加强信息（xī）和软件的交换的管理，防止组织间在交换信息（xī）时发（fā）生丢失、更（gèng）改和误用； 

· 访问（wèn）控制（zhì）：按照访问控（kòng）制（zhì）的商务要求，控制信（xìn）息访问；加强用户访（fǎng）问管理，防止（zhǐ）非授权（quán）访问（wèn）信（xìn）息系统；明确用户（hù）职责，防止非（fēi）授权的用（yòng）户访问；加强网络访问控制，保护（hù）网络（luò）服务（wù）程序；加强操作系（xì）统访问（wèn）控制 , 防止非授权（quán）的（de）计算机访问（wèn）；加（jiā）强应用访问控制，防止非授权访（fǎng）问（wèn）系（xì）统（tǒng）中（zhōng）的（de）信（xìn）息；通过（guò）监（jiān）控系（xì）统的访（fǎng）问与使用，监测非授权行为；在移动（dòng）式计算（suàn）和（hé）电（diàn）传（chuán）工作（zuò）方面 , 确保使用（yòng）移动式计算和电传（chuán）工（gōng）作设施（shī）的信息（xī）安全； 

· 系统开发与维护：明确系统（tǒng）安全要求，确保（bǎo）安全性已构成信（xìn）息系统的（de）一部份；加强（qiáng）应用系（xì）统的安（ān）全（quán），防（fáng）止应（yīng）用系统用户数据的丢失、被修（xiū）改或误用；加强密码技术（shù）控制，保护信息（xī）的保密（mì）性、可靠性或完整性；加强系统文件的安全（quán），确保 IT 方案及（jí）其支持活动以安（ān）全（quán）的方式进行；加强开发和支持过程的安全，确保（bǎo）应用系统软件和信息（xī）的（de）安全； 

· 商务连（lián）续性管理：防（fáng）止商（shāng）务（wù）活动（dòng）的中（zhōng）断及（jí）保（bǎo）护关键商务过程不受重大失误或（huò）灾难事故的影响； 

· 符合：符合法律法规要求，避免刑法（fǎ）、民法、有（yǒu）关法令法规或合同（tóng）约定（dìng）事宜（yí）及其他安全（quán）要（yào）求的规（guī）定相抵（dǐ）触；加强安全方针和技术符合性（xìng）评审，确保体系（xì）按照组织的安全方针及（jí）标准执行（háng）；系统审（shěn）核考虑因素，使效（xiào）果较大化 , 并使系统审核过程的影响（xiǎng）较小化。 　 

在国际标（biāo）准 ISO/IEC17799 给出了为（wéi）实现信息安全认证所需的各项措施的详细指导，具有很强的可（kě）操作性和指导（dǎo）性。

归根（gēn）结底，信息安（ān）全工作的目的就是在（zài）法律（lǜ）、法规（guī）、政策的（de）支（zhī）持与指导下，通过采用合适的安（ān）全技术与安全管理（lǐ）措（cuò）施，提供（gòng）安全（quán）需（xū）求的保（bǎo）证，而 BS7799 信息（xī）安全认证标准正（zhèng）是总和了这些要求。组织可以根据自（zì）身特（tè）点（diǎn），在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息（xī）安全管理体系要（yào）求》是关于信息安全管理的标准（zhǔn），是标准不（bú）是方（fāng）法，达到这些（xiē）标准（zhǔn）的要求并不（bú）难，重（chóng）要（yào）的（de）是用（yòng）什（shí）么方法去实现（xiàn）。企业应将实施标准作为改善内部（bù）管理（lǐ）的一次机会，不应该将标准做为一种简（jiǎn）单的模（mó）式对现有流（liú）程运作进行套用（yòng），应对（duì）现有的组（zǔ）织（zhī）运作流程（chéng）进行详（xiáng）细分析（xī），有针对性地设计并改善现有管理体系、改善薄弱环节、改善运作流程及内部沟（gōu）通，并有效地将先进的（de）管理思想融（róng）合到具体（tǐ）的实施程序中，才能发挥标（biāo）准（zhǔn）的真正作用。

获得（dé）认证证书不是较终目的，建立有（yǒu）责（zé）、有序、有效（xiào）的信息安全管理体（tǐ）系，提高员工的信息安全意识，不断获取并运（yùn）用先进的（de）管理方（fāng）法和技术（shù）手段才能使企业的信息安全管理水平得以（yǐ）持续的发展和提（tí）升。