信息安全 (Information security): 是指信息（xī）的保密（mì）性 (Confidentiality) 、完整（zhěng）性（xìng） (Integrity) 和（hé）可（kě）用性 (Availability) 的保持。

•  保密性（xìng）：为保障（zhàng）信（xìn）息仅仅为那些被授权使用的（de）人获取（qǔ）。

 信息（xī）的保密性是（shì）针对信息被允（yǔn）许（xǔ）访问（ Access ）对象的多少而不同，所有人（rén）员都（dōu）可以访问的信息为（wéi）公开信息，需要限制访问的（de）信息一般为敏感（gǎn）信息或秘密，秘密可（kě）以根据信息的（de）重要性及保（bǎo）密要求分（fèn）为（wéi）不同的密级，例如国家根据秘密泄露对国家经济、安全利益（yì）产生的影响（后果）不同，将国家（jiā）秘密分为秘密、机（jī）密和绝密（mì）三个（gè）等（děng）级（jí），组织（zhī）可根据其信（xìn）息安全的实（shí）际，在符合《国家保密法（fǎ）》的前提下将其信（xìn）息（xī）划分为不同（tóng）的密（mì）级（jí）；对于具体（tǐ）的信息的保（bǎo）密性有（yǒu）时（shí）效性，如秘密到期解密等（děng）。

 •  完整性：为保（bǎo）护信息及其处理方法的（de）准确性和完整性。

信息完整（zhěng）性一方面（miàn）是指信息在利用、传输、贮存等过（guò）程（chéng）中不被篡改、丢失（shī）、缺损等，另一方面是指信息处理的（de）方法的（de）正确性。不（bú）正当的操作，如（rú）误删除文（wén）件，有可能造成重要文件的丢失。

 •  可用性：为保障授权使用（yòng）人（rén）在（zài）需要时可以获取信（xìn）息和使用相关的资（zī）产。

信息的可用性是指信息及（jí）相关的信息资产（chǎn）在授权人需要的时候（hòu），可以立即获得。例如通信（xìn）线路中断（duàn）故障会造成信息的在一（yī）段时间内（nèi）不（bú）可用，影响正（zhèng）常的商业运作，这（zhè）是（shì）信息可（kě）用（yòng）性的（de）破坏。不（bú）同类型的信（xìn）息及相应资（zī）产的信（xìn）息安全在保（bǎo）密性、完整性及可用性（xìng）方面关注点不同，如（rú）组织的专（zhuān）有（yǒu）技术、市场（chǎng）营销计（jì）划等商业秘（mì）密（mì）对组织来讲保守机密尤其重要；而对于工业自动控制系统，控制信息的完整性相对其保密性（xìng）重要得多（duō）。

为什么需要信息（xī）安（ān）全？

信息、信息处理过程（chéng）及（jí）对（duì）信息（xī）起（qǐ）支持作（zuò）用的信息系统和（hé）信息网络（luò）都是重要的商务资产。信息的保（bǎo）密性（xìng）、完整性和可用性对保持竞争优势、资金流动、效益、法律符（fú）合性和商业形象都是至（zhì）关重要的。然而，越来越多的组织及（jí）其信息系统（tǒng）和网络面临着包括计算机（jī）诈骗、间（jiān）谍（dié）、蓄意破坏（huài）、火灾、水灾等大范围的安全威胁（xié），诸（zhū）如计算机病毒、计算机入侵、 Dos 攻击等手段（duàn）造成的信息灾（zāi）难已变得更加普遍 , 有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着（zhe）更易受到安全威胁的破坏（huài），公共和私人网络的互（hù）连（lián）及信息资源的共享增大了（le）实现（xiàn）访问控制的难度。许多（duō）信息（xī）系统（tǒng）本（běn）身就不是按照安全系统的要求来（lái）设（shè）计的，所以仅依靠技术手（shǒu）段来（lái）实现（xiàn）信（xìn）息安全（quán）有其局（jú）限性，所以信息（xī）安全的（de）实现须得到管理和程序控（kòng）制的适当支持。确定应（yīng）采（cǎi）取哪些控制方式则需要周（zhōu）密计划，并注意（yì）细节。信息安全管理（lǐ）至少（shǎo）需要组织中的所有雇员的参与，此外还（hái）需（xū）要供应（yīng）商、顾客或股（gǔ）东的参与（yǔ）和信息安全的专家建（jiàn）议。在信息系统设计阶（jiē）段就将（jiāng）安全要求和控制一体化考虑（lǜ），则成本会更低、效（xiào）率会更高。

 BS7799的信（xìn）息管理过程：

①确定（dìng）信息安全管理方针。

②确定 ISMS( 信息安全管理体（tǐ）系（xì）) 的范围

③进行风险分析（xī）。

④选择控（kòng）制目标并进行控制。

⑤建立业务（wù）持续计划。

⑥建立并实（shí）施安（ān）全管理体系。

 建立信息安全管理体系的作用：

 任何组（zǔ）织，不论它在信（xìn）息技（jì）术方面如何努力以及采（cǎi）纳如何新的信息安全技术，实际上在信息安全管理（lǐ）方面都（dōu）还（hái）存在（zài）漏洞，例（lì）如：

· 缺少信息安（ān）全管理论（lùn）坛（tán），安全导（dǎo）向不明确，管理支持（chí）不明显； 

· 缺少跨部门的（de）信息安全协（xié）调机（jī）制； 

· 保护（hù）特定资产以及完成特定安全过程的职责还不明确； 

· 雇员信息安（ān）全意识薄弱，缺少防范意识，外（wài）来人员（yuán）很容易直接进入生（shēng）产和工作场所； 

· 组（zǔ）织信（xìn）息系统管理制度不够健全； 

· 组织（zhī）信（xìn）息系统（tǒng）主机房安全存在隐患，如：防火设施存在问题，与危险（xiǎn）品仓库同（tóng）处一幢办公楼（lóu）等； 

· 组织信息系统备份设备仍有（yǒu）欠缺； 

· 组（zǔ）织信息系统安全防（fáng）范（fàn）技术投入欠缺（quē）； 

· 软件知识产权保护欠缺； 

· 计算机（jī）房、办公场所等物理防范措施欠缺； 

· 档案、记录等（děng）缺少可靠（kào）贮存（cún）场所； 

· 缺少一旦发生意外时的保证生产经（jīng）营连续性（xìng）的措施和计划； 

        ……等等。

为（wéi）什么要建立和实施（shī）ISO27001信息安全管理体系认（rèn）证（2）

其实（shí），组织可以参照信息安全（quán）管理模型，按照先进的（de）信（xìn）息安（ān）全管理（lǐ）标准 BS7799 标（biāo）准（zhǔn）建立组织完（wán）整的信息安全（quán）管理（lǐ）体系并实施与保持，达到动态的、系统的、全员参与、制度化（huà）的、以预防为主的信息安全管理方式（shì），用较低的成本，达到可接受的信息安全水平，就（jiù）可（kě）以从根本上保证（zhèng）业务的连续（xù）性。组（zǔ）织建立（lì）、实施与保持（chí）信息安全（quán）管（guǎn）理体系将会产（chǎn）生如下作用：

· 强化员工的（de）信（xìn）息（xī）安全意识，规范组织（zhī）信息（xī）安全行为； 

· 对组织（zhī）的关（guān）键信息资（zī）产进行全面系统的保护，维持竞争优势； 

· 在信息系统受到侵袭时，确（què）保（bǎo）业务持续开展并（bìng）将损（sǔn）失降到较低程度； 

· 使组（zǔ）织的生意伙伴和客户对组织充满信心（xīn）； 

· 如（rú）果通过体系认证，表明体系（xì）符（fú）合标（biāo）准，证明（míng）组织有能（néng）力保障重要信息，提（tí）高组（zǔ）织的名度与信任度； 

· 促使管理层坚持贯彻（chè）信息安全保障体系。 

BS7799标准概（gài）述：

· 1995 年，英国贸工（gōng）部根据英国国（guó）内企业对信（xìn）息安（ān）全日益高涨的呼（hū）声，组织（zhī）大企（qǐ）业的信（xìn）息安全经理（lǐ）们，制定了世界上第一个（gè）信息安（ān）全管理体系标准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大、中、小型组织实（shí）施信息安全（quán）管（guǎn）理的指南。由于该标准采（cǎi）用建议和指导（dǎo）方式编写（xiě），因而（ér）不（bú）宜作为认证标准使用。 

· 1998 年（nián），为（wéi）了适应第（dì）三方认证的需要，英国又制定了第一个信（xìn）息安全管理体系（xì）认证标准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作为对一（yī）个组织的全部或部（bù）分信（xìn）息安全管理体系进行评审（shěn）认（rèn）证的依据标（biāo）准。 

· 1999 年，鉴（jiàn）于计算（suàn）机和信息处理技术，尤其是网络和（hé）通信领域应用的迅速发展，英国（guó）又对信（xìn）息安（ān）全（quán）管理体系标准进行了修订（dìng）。修订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调（diào）了组织在商（shāng）务工作中所涉（shè）及的信息安全和信息安全责（zé）任。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如（rú）何建立和实施符合 BS7799-2 ： 1999 标准（zhǔn）要（yào）求（qiú）的信息安全管理体系提供了较佳的应用建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已（yǐ）经被 ISO/IEC 正式采纳（nà）成（chéng）为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术—信息（xī）安全（quán）管理（lǐ）实施规则》，另（lìng）外， BS7799-2 ： 1999 也即（jí）将于 2002 年底被 ISO/IEC 作为蓝本修订后成（chéng）为可用于认证（zhèng）的 ISO/IEC 的《信息安全（quán）管理体系规范》。 

信息安全认证（zhèng）是实现信息安全（quán）目标的（de）较佳途径：

BS7799-2：2002信息安（ān）全管理（lǐ）体系规范向组织提（tí）出了一系列认证（zhèng）的要求，在总则中提出组织（zhī）应建立（lì）并保持一个文件化的信（xìn）息安全管理体系，阐述被保护的资产、组织风险管理的（de）渠道（dào）、控制目标及（jí）控（kòng）制方式和需要的保证等（děng）级（jí）；通过建立管（guǎn）理架构并加以实（shí）施来（lái）达到识别控制目标（biāo）和控制（zhì）方式，并形成（chéng）文件（jiàn）和记录。

BS7799-2：2002的（de）控（kòng）制细则（zé）包括（kuò）10个方面（miàn）： 　

· 安全（quán）方（fāng）针：为信息安全提供管理（lǐ）指导和支持； 

· 组织（zhī）安全：建立信息安全架构，保（bǎo）证（zhèng）组织的（de）内部管理；被第三方访问或（huò）外协时，保（bǎo）障组织的信息安全； 

· 资产的归类与控制：明确（què）资（zī）产责任，保持对组织资（zī）产的适当保护；将信息进行归类，确保（bǎo）信息资产受到适当程度的保护； 

· 人员安全：在工作说明和资源方面，减少因（yīn）人为错误、盗窃、欺（qī）诈和设施误用造成的（de）风险；加强用户培训，确保（bǎo）用户清楚知（zhī）道（dào）信息安全的危（wēi）险（xiǎn）性和相关事项（xiàng），以便在他们的日常工作中支持组织的安全方针；制定安全（quán）事故或（huò）故障的反应程（chéng）序，减少由安全事故和故障造（zào）成的损（sǔn）失，监控安全（quán）事件并从这种事件中吸取教训； 

· 实物与（yǔ）环（huán）境安全：确定安全区域，防止非授权（quán）访（fǎng）问（wèn）、破坏、干（gàn）扰（rǎo）商务场所和信息；通过保（bǎo）障设备安全，防止资产的丢失、破坏、资产危害及商务活动的中断；采用通用（yòng）的控制方式，防止信息（xī）或信息处理（lǐ）设施损坏或失窃； 

· 通信和操作（zuò）方式管理：明确操作程序及其（qí）责（zé）任（rèn），确保信息处理设施的正确、安全（quán）操作；加强系（xì）统策（cè）划与验收，减少系（xì）统失效（xiào）风（fēng）险（xiǎn）；防范恶意软件以（yǐ）保（bǎo）持（chí）软件（jiàn）和信息的完整性；加强内务管（guǎn）理（lǐ）以（yǐ）保持（chí）信息（xī）处理（lǐ）和（hé）通讯（xùn）服务的完整性和有效性通过 ; 加强网络（luò）管理（lǐ）确保网络中的信息安（ān）全及其辅助设施受（shòu）到保护（hù）；通过（guò）保（bǎo）护媒（méi）体处理的安全 , 防（fáng）止资产（chǎn）损坏和商务活动的中断；加强信息和软件的交换的管理，防止（zhǐ）组织间在（zài）交换信息时发生（shēng）丢失、更改和误用； 

· 访问控制：按照访问控制（zhì）的商（shāng）务要求，控制信息访问；加强用户访问管理，防止非授（shòu）权（quán）访问（wèn）信息系统；明确用户职（zhí）责（zé），防止非（fēi）授权的用户访（fǎng）问；加强网络访问控（kòng）制，保护网络服务程序；加强操（cāo）作系统（tǒng）访问（wèn）控制（zhì） , 防止（zhǐ）非授权的计（jì）算机访问；加强应用访问控（kòng）制，防止非授权访（fǎng）问系统中（zhōng）的信（xìn）息；通过监控系统的访问与使用，监测（cè）非（fēi）授（shòu）权行（háng）为；在移动式计（jì）算和电（diàn）传工（gōng）作方面 , 确保使（shǐ）用移动式计算和电传工作设施的信息安（ān）全； 

· 系统开发与维护：明确系统安全要求，确保安全性已构成信息系统的一部份；加强应用系统的（de）安全，防止应用系统用户数据的丢失、被（bèi）修改（gǎi）或误用（yòng）；加强密码技术控制，保护信息（xī）的保（bǎo）密性、可靠性或完整性；加强系统文件（jiàn）的安（ān）全（quán），确保 IT 方案及其支持活动以安全的（de）方式进行（háng）；加强开发（fā）和支（zhī）持过程的安全（quán），确保应（yīng）用系统软件和信息（xī）的安全（quán）； 

· 商务连续（xù）性管理：防止商务活（huó）动的中断及保（bǎo）护关键商务过程不受重大失误或灾难（nán）事故的影（yǐng）响； 

· 符合（hé）：符合（hé）法律法规要求（qiú），避免刑法（fǎ）、民法、有关法令法规或合同约定事宜及其他（tā）安全要求的规定相抵触；加（jiā）强安全（quán）方针和技术（shù）符合（hé）性评审，确保（bǎo）体系按（àn）照组织的安全方针及标（biāo）准执行；系统审核考（kǎo）虑因素，使效果较大化 , 并使（shǐ）系统审核过程（chéng）的影（yǐng）响较小化。 　 

在国际标准 ISO/IEC17799 给出了为（wéi）实现信息安（ān）全认证所需（xū）的各项措施的详细指导，具（jù）有很（hěn）强的可操作性和指导性。

归根（gēn）结底，信息安（ān）全工（gōng）作的目的（de）就是在法律、法规、政策的（de）支持与指导下，通过采（cǎi）用合（hé）适（shì）的安全技术（shù）与安（ān）全管理（lǐ）措施，提（tí）供安全需求的（de）保证（zhèng），而 BS7799 信息安全认证标准正是总（zǒng）和（hé）了这些要求。组织可以（yǐ）根据（jù）自身特点（diǎn），在 ISO/IEC 17799 指导下，实现信息安（ān）全的（de）要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安（ān）全管理体系要求》是关于信（xìn）息安（ān）全管理的标（biāo）准（zhǔn），是标准不是方法（fǎ），达到这些（xiē）标准的要求并不难，重要的是用什么方法去实现。企业应将（jiāng）实施标准作为改善（shàn）内（nèi）部管理的一次机会，不应该将标准（zhǔn）做（zuò）为一（yī）种简单的模（mó）式（shì）对现有流程运作进行（háng）套用，应对现有的组织运作流程（chéng）进（jìn）行（háng）详（xiáng）细分析，有针（zhēn）对（duì）性地设计并改善现（xiàn）有管理体系、改善（shàn）薄弱环节、改善运作流程及内部沟通，并（bìng）有效地将先进的管理思想（xiǎng）融合到具体（tǐ）的实（shí）施程序（xù）中（zhōng），才能发挥标（biāo）准的真正（zhèng）作用。

获得认证证书（shū）不是较终目的（de），建立有责、有序、有效的信息安全管理（lǐ）体系，提（tí）高员工的信息安全意识，不断获取（qǔ）并运用先进的管理方法和技术手段才能使企业（yè）的信（xìn）息安全管理水（shuǐ）平得以持续的发展和提（tí）升。