信息（xī）安全 (Information security): 是指（zhǐ）信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可（kě）用性 (Availability) 的保持。

•  保密性：为（wéi）保障（zhàng）信息仅仅为那些被授权（quán）使用的人获取。

 信息的保密性是针（zhēn）对信息被（bèi）允许访问（wèn）（ Access ）对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的（de）信（xìn）息一般为敏感（gǎn）信息或秘密，秘密可以根据信息的重要性及保密（mì）要求（qiú）分为不同的密级，例（lì）如国家根据秘密泄露对国（guó）家经济、安全利益产（chǎn）生的影响（后果）不同，将（jiāng）国家秘密分为秘密（mì）、机密和绝（jué）密三个等级，组织可（kě）根据其信（xìn）息安全的（de）实际，在符（fú）合（hé）《国家保密法》的（de）前提下将其信息划分为不同的密级；对于具体的信息（xī）的保密性有时效性（xìng），如秘密（mì）到期解密等。

 •  完整性：为保护信息及（jí）其处（chù）理方法的（de）准（zhǔn）确性和（hé）完整性。

信息完整性（xìng）一方（fāng）面是指信息在利用、传输（shū）、贮（zhù）存等过程中不被篡改、丢失、缺（quē）损（sǔn）等，另一方（fāng）面是指信息处（chù）理的方（fāng）法的正确性。不（bú）正当的操作（zuò），如误删除文件（jiàn），有可（kě）能造成重要文件的丢失。

 •  可（kě）用性：为（wéi）保障授权（quán）使用（yòng）人在需要时可（kě）以获取信（xìn）息和使用相关（guān）的资产。

信息（xī）的（de）可用性是指（zhǐ）信息及相关的信（xìn）息资产在授权人需要的时候，可以立即（jí）获得。例如通信线路中断（duàn）故障会造成信息的在一段时间内不可用，影响正常的商业运作，这是信息可用性的（de）破坏。不同类型（xíng）的信息及相应资产的信息安全在保密性、完整性及可用性方面关注点（diǎn）不同，如（rú）组（zǔ）织的专（zhuān）有技术、市场营销计划等商业秘密对组织来讲保守机（jī）密尤其重要；而对于（yú）工业（yè）自动控制系统（tǒng），控制信息（xī）的完整性（xìng）相对其保密性重要得（dé）多（duō）。

为什么需要信息安全？

信息、信息处理过（guò）程及（jí）对信（xìn）息起（qǐ）支持作用的（de）信（xìn）息系统（tǒng）和信息网络都是重要的商务资产（chǎn）。信息的保（bǎo）密（mì）性、完整性和（hé）可用性对保（bǎo）持竞争优（yōu）势、资金（jīn）流动、效益、法律（lǜ）符合性和商业形象都是至关（guān）重（chóng）要（yào）的。然而，越来越多的组织及（jí）其信息系统和网络面临着（zhe）包括计算机诈骗、间谍、蓄意破坏、火（huǒ）灾（zāi）、水灾（zāi）等大范围的安全威胁，诸如计算机病毒（dú）、计算机入侵、 Dos 攻（gōng）击等手段造成的信息灾难已变得更加普遍 , 有计（jì）划而不（bú）易被察觉。组织对信息系统和信息服（fú）务的依赖意味着更易受到安全（quán）威胁的破坏，公共和私（sī）人（rén）网络的互连及信息资（zī）源的共享增大了（le）实现访问控（kòng）制的难度。许多信息系统本身就不（bú）是按照安全系统（tǒng）的要求来设（shè）计的，所以仅依靠技术手段来实（shí）现（xiàn）信息安全有（yǒu）其局限性，所以（yǐ）信（xìn）息安全的实现须得到管（guǎn）理和程序控（kòng）制的适（shì）当支持。确定应采取哪些控制方式（shì）则需要周密计划（huá），并注（zhù）意细节。信息安全管理至少（shǎo）需要组织中的所有雇员（yuán）的参（cān）与，此外还需要供应商、顾客或股东的参（cān）与（yǔ）和信息安全的专家建议。在（zài）信息系统设计阶段（duàn）就（jiù）将安全（quán）要求和控（kòng）制（zhì）一体化考虑（lǜ），则成本（běn）会更低、效率会更高。

 BS7799的信息管理过程：

①确定信息安全（quán）管理方针。

②确定 ISMS( 信息安全管理体系) 的范围

③进行风（fēng）险分析。

④选择控制目（mù）标并进行控制。

⑤建立业务持续计划。

⑥建立并实（shí）施安全管理（lǐ）体（tǐ）系（xì）。

 建立信息安全管理体系的作用：

 任何组织，不论它在信息（xī）技（jì）术方面如何努力以及采纳如何新的信息安全技术，实际上在信息安全管理方面都还存在漏洞，例如：

· 缺少信息安（ān）全管理（lǐ）论坛，安全导（dǎo）向（xiàng）不明确，管理（lǐ）支持（chí）不明显； 

· 缺少跨部门的信息安全协调机（jī）制； 

· 保护特定资产以及（jí）完成特定安全过程（chéng）的职责（zé）还不明确（què）； 

· 雇员信（xìn）息安（ān）全（quán）意识薄（báo）弱，缺（quē）少防范意识，外来人（rén）员很容易（yì）直（zhí）接进入生产（chǎn）和工作场所； 

· 组织（zhī）信息系统管理制（zhì）度不够（gòu）健（jiàn）全； 

· 组织信息（xī）系统主机（jī）房安全存在隐患，如：防火（huǒ）设施存在问题（tí），与（yǔ）危险品仓（cāng）库同处（chù）一幢办公楼等； 

· 组织信息（xī）系统备份设备仍有欠缺； 

· 组织信息系（xì）统安全防范技术投入欠缺； 

· 软件知识产权保（bǎo）护（hù）欠（qiàn）缺； 

· 计（jì）算机房、办公场所等物理防范措施欠缺（quē）； 

· 档案、记录（lù）等缺少可靠（kào）贮存场所； 

· 缺少（shǎo）一旦发生意（yì）外（wài）时的（de）保（bǎo）证（zhèng）生产经营连续性的（de）措施和计划； 

        ……等等。

为什么要建（jiàn）立（lì）和实施ISO27001信息安全管理体系认（rèn）证（zhèng）（2）

其实，组（zǔ）织可（kě）以参照信息安全管理模型（xíng），按照先进的信（xìn）息安全管理标准 BS7799 标准建立（lì）组织完整的信（xìn）息（xī）安（ān）全管理（lǐ）体系并（bìng）实施（shī）与保持，达到动态的、系统的、全员参与、制（zhì）度（dù）化的、以预防为主的（de）信息安（ān）全管理（lǐ）方式，用较低的（de）成本，达到可接受的信息安全（quán）水平，就（jiù）可以从根本（běn）上保证业务的连续性。组织建立、实施与保持（chí）信息（xī）安全管理（lǐ）体（tǐ）系将会产生（shēng）如下作（zuò）用（yòng）：

· 强（qiáng）化（huà）员工的信息安（ān）全（quán）意（yì）识，规范（fàn）组织信息安全（quán）行为（wéi）； 

· 对组织的关键（jiàn）信息资产进行全面系统的保护，维持竞争优势； 

· 在信息系（xì）统受到侵袭时（shí），确保业务持续开（kāi）展并将损失降到较低程度； 

· 使组（zǔ）织的生（shēng）意伙伴和（hé）客户（hù）对组织充满信（xìn）心（xīn）； 

· 如果通过（guò）体系认证（zhèng），表明体系符合标准，证明组（zǔ）织有能力保障重（chóng）要信息，提高组织的名度（dù）与信任度； 

· 促使管理（lǐ）层（céng）坚持贯彻信息安全保障体系。 

BS7799标（biāo）准概（gài）述：

· 1995 年，英国贸工部根据英国国内企业对信（xìn）息安全日（rì）益高涨的呼声，组织大企业的信息安全经（jīng）理们，制（zhì）定了世（shì）界上（shàng）第一个信（xìn）息安全管理体系标准（zhǔn） BS7799-1 ： 1995 《信息安全管（guǎn）理实（shí）施规则》，作为工商业和大、中、小型（xíng）组织实（shí）施信息安全（quán）管（guǎn）理的指南。由于该标准采（cǎi）用建议和指（zhǐ）导方式编（biān）写，因而不宜作为认证标准使用。 

· 1998 年，为（wéi）了适应第三方认证的需要，英国（guó）又制定了第一个信息安（ān）全管理体系（xì）认证标准（zhǔn） --BS7799-2 ： 1998 《信息安全管理体系规范》，作为对一个组织的全部或部分信息安（ān）全管理体系进行评审认证的依据标准。 

· 1999 年，鉴（jiàn）于计算机和信（xìn）息（xī）处理技（jì）术（shù），尤其是网（wǎng）络和通信领域应用的迅速发展，英国又对信息安（ān）全（quán）管理体系（xì）标准进（jìn）行了（le）修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别取（qǔ）代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新（xīn）修订的 1999 版标准进一步强调了（le）组织在商（shāng）务工作中所涉及的信（xìn）息（xī）安全和信息安全责（zé）任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一对配套标（biāo）准， BS7799-1 ： 1999 为（wéi）如何建立和实施（shī）符合 BS7799-2 ： 1999 标准要求的信息安（ān）全管理体系提供（gòng）了较佳的应用建议（yì）。 

· 2000 年 12 月， BS7799-1 ： 1999 已（yǐ）经被（bèi） ISO/IEC 正式（shì）采纳成为国际（jì）标准 -- ISO/IEC 17799 ： 2000 《信息技（jì）术—信息安全（quán）管理实施规则》，另（lìng）外， BS7799-2 ： 1999 也（yě）即将于 2002 年底被 ISO/IEC 作为（wéi）蓝本修订（dìng）后成为可用于认证的 ISO/IEC 的《信息安全管（guǎn）理体系规范》。 

信息安（ān）全认证是实现（xiàn）信息（xī）安全目标的较佳（jiā）途径（jìng）：

BS7799-2：2002信息安全管理体系规范向组织提出了一系列（liè）认证的要求，在总则中（zhōng）提出组织应建立（lì）并（bìng）保持一个文（wén）件化的（de）信息安全管理体系，阐述被保护的资产、组织风险管（guǎn）理的渠道、控制目标及控制方式和（hé）需要的保证等级（jí）；通过建（jiàn）立（lì）管理架构并加（jiā）以实施来达到识别控制目标和控（kòng）制（zhì）方式（shì），并形成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针（zhēn）：为信息安全（quán）提供（gòng）管理指导和支持； 

· 组织安全：建立信息（xī）安全架（jià）构，保证组织的内部管理；被第三方访问（wèn）或外协时，保障组织的信（xìn）息安全； 

· 资产（chǎn）的归类与控制：明（míng）确资产责任，保持对组织资产的适当保护；将信息（xī）进行归类，确保信（xìn）息资产受到适当程度的保护； 

· 人（rén）员（yuán）安全：在工作说明和（hé）资（zī）源方面（miàn），减少因（yīn）人为错误、盗窃、欺诈（zhà）和设（shè）施（shī）误用（yòng）造成的风险；加（jiā）强（qiáng）用户培训，确保用户清楚（chǔ）知道信息安全（quán）的危（wēi）险性和相关事项，以便（biàn）在他们的日常（cháng）工作中支持组（zǔ）织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造（zào）成的（de）损（sǔn）失，监控安全（quán）事件并从这种事件中（zhōng）吸取（qǔ）教训； 

· 实物与环境（jìng）安全：确定安（ān）全区（qū）域，防止非授权（quán）访问、破坏、干扰商务场所和信息；通过保障设（shè）备（bèi）安全，防止资产的（de）丢失、破坏、资（zī）产（chǎn）危害（hài）及商务活动的中断；采用通用的控制（zhì）方式，防止信息或（huò）信息处理设施损坏（huài）或（huò）失窃； 

· 通信和操作方式管理：明确操作（zuò）程序及其责任，确保信息处理设施的正确、安全（quán）操作；加强系统策划（huá）与（yǔ）验收，减少系统失（shī）效风险；防（fáng）范恶（è）意软（ruǎn）件以保持软件和信息的完整（zhěng）性；加强内务管理以保持信息处（chù）理和（hé）通讯服务的（de）完（wán）整（zhěng）性和有效性通过（guò） ; 加强网络（luò）管（guǎn）理确保网（wǎng）络中的信息安全及其辅助设（shè）施受到保护；通过保护媒体处（chù）理的安（ān）全 , 防止资产损（sǔn）坏（huài）和商（shāng）务活动的中（zhōng）断；加强信息和软件的交换的管理，防（fáng）止组织间在交（jiāo）换信息时发生丢（diū）失、更（gèng）改和误用； 

· 访问控制：按照访（fǎng）问控制的商务（wù）要求，控制信息访问；加强用（yòng）户访问管理，防止（zhǐ）非授（shòu）权访问信息系统；明确（què）用户职责，防止非授权的用（yòng）户访问；加强网络访问控（kòng）制，保护网络服务程序；加强操作系统访问控制 , 防止非授权的计（jì）算机访问；加强（qiáng）应用访问控制，防止非授（shòu）权访（fǎng）问系统中的信息（xī）；通过监控系统的（de）访问（wèn）与使（shǐ）用（yòng），监测（cè）非授（shòu）权（quán）行为；在移动式（shì）计算和电传工（gōng）作方面 , 确（què）保使用移动式（shì）计算（suàn）和电传工作设施的信息安全； 

· 系（xì）统（tǒng）开（kāi）发与（yǔ）维（wéi）护：明确（què）系统（tǒng）安全要（yào）求，确保安（ān）全性已（yǐ）构成信息系统的一部份；加（jiā）强应（yīng）用系统（tǒng）的安（ān）全，防止应用系统用户数据的丢失、被（bèi）修（xiū）改或误用（yòng）；加强密（mì）码技术控制，保护信息（xī）的保密性、可靠（kào）性或完整性；加强系统文件（jiàn）的（de）安全，确（què）保 IT 方案（àn）及其（qí）支持活（huó）动以安全的方式进行；加强开发（fā）和支持过程的（de）安（ān）全，确保应用系统软件和（hé）信息的安全（quán）； 

· 商务连（lián）续性管理：防止商务活动的中断及保护关（guān）键商务过程不受（shòu）重大失误或灾难（nán）事故的（de）影（yǐng）响； 

· 符合（hé）：符合法律（lǜ）法（fǎ）规（guī）要求，避免刑法、民（mín）法、有关法（fǎ）令法规或合（hé）同约定事宜及其他（tā）安全要求的（de）规（guī）定相抵触（chù）；加强安全（quán）方针和（hé）技术（shù）符合性评审，确保体系按（àn）照组织的安（ān）全（quán）方针及标准执行；系统（tǒng）审（shěn）核考虑因（yīn）素，使效果较大化 , 并使（shǐ）系统审核过程的影响较小化。 　 

在国际标准（zhǔn） ISO/IEC17799 给（gěi）出（chū）了为（wéi）实现信息安全认证所需的各项措施的详细指导，具有很强的可（kě）操作性和指（zhǐ）导（dǎo）性（xìng）。

归根结（jié）底（dǐ），信息安全工作的（de）目的就（jiù）是在法律、法规、政策的支持与指（zhǐ）导下（xià），通过采用合（hé）适的安全技术与安全管理（lǐ）措施，提供安（ān）全（quán）需求（qiú）的保证，而 BS7799 信息安全认（rèn）证（zhèng）标准正是总和（hé）了这些要求（qiú）。组（zǔ）织可以根据自身特点，在（zài） ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信（xìn）息安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理（lǐ）体系要求》是关于信息安全管理的标准，是（shì）标准不是方法，达到这些标准的要求并不难，重要的是用什么方法去实现（xiàn）。企业应将实施标准作为改善内部管理的一次机会（huì），不应（yīng）该（gāi）将标准做为一种（zhǒng）简单（dān）的模式对现有流程运作进行套用，应对现有的（de）组织运作流（liú）程进（jìn）行详细（xì）分析（xī），有针对性地设计并改善现有管理（lǐ）体系（xì）、改善（shàn）薄弱（ruò）环（huán）节、改善（shàn）运作流程（chéng）及内部沟通，并有效地将先进的管（guǎn）理思想融合到具体的实施程序中，才能（néng）发挥标准的真正作用。

获（huò）得认证证书不是较（jiào）终目的，建立（lì）有（yǒu）责、有序（xù）、有（yǒu）效的信息安全（quán）管理（lǐ）体系（xì），提高员工的信息安全意（yì）识，不断获取并运用（yòng）先进的管理方（fāng）法和技术手段才（cái）能使企业的（de）信息安全管（guǎn）理水平（píng）得以持续的发（fā）展和提升。