信（xìn）息安全 (Information security): 是（shì）指信息（xī）的保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性（xìng）：为保障信息仅仅为（wéi）那些被授权使用的人获取。

 信（xìn）息的保密性（xìng）是针对信息被允许访问（ Access ）对象的（de）多少而不（bú）同，所有人员（yuán）都可以（yǐ）访问的信息为公开（kāi）信息，需要（yào）限制（zhì）访问（wèn）的信息一般为（wéi）敏感信息或秘密，秘密可以根据（jù）信息（xī）的重要性及保密要求（qiú）分为不同的密级，例（lì）如国家根据秘（mì）密泄露对国（guó）家经济、安（ān）全利益产（chǎn）生的影响（后（hòu）果）不同，将国家秘（mì）密分为秘密、机密和绝密三个等级，组织（zhī）可根据（jù）其信息安全的（de）实（shí）际，在（zài）符合（hé）《国（guó）家保密法》的前提下将其信息划分为不同的密级；对于具体的信息的（de）保密（mì）性有时效性，如秘密到期解密（mì）等（děng）。

 •  完整性：为保护（hù）信息及其处理（lǐ）方法的准确性和完整性。

信息完整性一方面是指信息在（zài）利用、传输、贮存等过程中不被篡改、丢失、缺损等（děng），另一方面是指（zhǐ）信（xìn）息处理的（de）方法的正确性。不正当的操（cāo）作，如误（wù）删除文件，有可能（néng）造成重（chóng）要文件的丢失。

 •  可用性：为（wéi）保障授权使用人在需要时可以获取（qǔ）信息和使用相关的资（zī）产（chǎn）。

信（xìn）息的可用性是指信息及相关的信息资产在授（shòu）权人需要的时候，可以立即获得。例如通信线路中断故障会造（zào）成信息的在一段（duàn）时间内不可用，影响正常的商业运（yùn）作，这是信息可用性的破坏。不同类型的信息及相应（yīng）资产的信息安全在（zài）保密性（xìng）、完整性及可用性方（fāng）面关注点不同（tóng），如组织（zhī）的专有技术、市场营销计（jì）划等商业秘密对组织来讲（jiǎng）保守机（jī）密尤其（qí）重要；而（ér）对于工业自动控制系统，控制信息（xī）的完整性相（xiàng）对其保密性重要（yào）得多。

为什么需（xū）要信（xìn）息安全？

信息、信息处理（lǐ）过程及对信（xìn）息起支持作用的信息系统和（hé）信息网络都是重要的（de）商务（wù）资产。信息的（de）保密性、完整性和可用性对保持竞争优势、资金流动、效益、法（fǎ）律符（fú）合性（xìng）和商业形象都是至关重要的。然而（ér），越来越多的组织及其信息系统（tǒng）和网络面临着包括（kuò）计算机诈骗、间（jiān）谍（dié）、蓄意破坏、火灾、水灾等大（dà）范围的（de）安全威胁，诸如（rú）计算机病（bìng）毒、计算机入侵、 Dos 攻（gōng）击等手段造（zào）成的信息灾难已变得更加普（pǔ）遍 , 有计划（huá）而不易被察觉。组织对信息系统（tǒng）和信息服（fú）务的依赖意味（wèi）着（zhe）更易（yì）受到安全威（wēi）胁的破坏，公共和私人网络的互连及信息（xī）资源的共享（xiǎng）增大了实现访问控制的难度（dù）。许多（duō）信息系统（tǒng）本身就不是按照安全系统的要（yào）求（qiú）来设计（jì）的，所以（yǐ）仅依靠（kào）技术手段来实现（xiàn）信息安全有其（qí）局限性，所以（yǐ）信息安全的实现须得到（dào）管理（lǐ）和程序控制的适当支持。确定应采取哪些控（kòng）制方式则需要（yào）周（zhōu）密计划，并（bìng）注（zhù）意细节。信息安全管理至少需要组织中（zhōng）的（de）所有雇（gù）员的参与，此外还（hái）需（xū）要供应商、顾客或股东的参（cān）与（yǔ）和信息安全的专家建（jiàn）议。在信息系统设计阶段就将安全要求和控制一体化考虑，则成（chéng）本会更低、效（xiào）率会（huì）更高。

 BS7799的（de）信息（xī）管（guǎn）理过（guò）程：

①确（què）定信息（xī）安全管理方（fāng）针。

②确定 ISMS( 信（xìn）息安（ān）全管理体系) 的范围（wéi）

③进行风险分析（xī）。

④选择控制目标（biāo）并进行控制。

⑤建立业务持（chí）续计划。

⑥建立并（bìng）实施安全（quán）管理体（tǐ）系。

 建立信息安（ān）全管理体（tǐ）系的作用：

 任（rèn）何组织，不论它在信息技术方面如何努力以及采（cǎi）纳如何新的信息（xī）安全（quán）技术（shù），实际上（shàng）在信（xìn）息（xī）安全管理（lǐ）方面都还存在（zài）漏洞，例如：

· 缺少信息安全管理论坛（tán），安全导向不明确，管理支持不明显； 

· 缺（quē）少跨部门的信（xìn）息安全协调机制； 

· 保护（hù）特定资产以及完成（chéng）特定安全过程的职责还不明确； 

· 雇员信息安全意识薄弱，缺少防范意识，外来人（rén）员很容易直接进入生产和工作场所； 

· 组（zǔ）织（zhī）信（xìn）息系统管（guǎn）理制度（dù）不够健全； 

· 组织信息系统（tǒng）主机（jī）房安全存在隐患，如：防火设施存在问题（tí），与危险品仓库同处一幢（zhuàng）办公楼（lóu）等（děng）； 

· 组织信息系（xì）统备份设（shè）备仍有欠（qiàn）缺； 

· 组织信息系统安全防范技术投入欠缺； 

· 软件知（zhī）识产权保护欠缺； 

· 计算机（jī）房、办公场所等物理防范措施欠（qiàn）缺； 

· 档（dàng）案、记录等缺少可靠贮存场所； 

· 缺少一旦发生意外（wài）时（shí）的（de）保证生（shēng）产经营连续性的措（cuò）施和计划； 

        ……等等。

为什么（me）要（yào）建立和（hé）实施ISO27001信息安全管（guǎn）理体系认（rèn）证（2）

其（qí）实，组织可以参照信息安全管（guǎn）理（lǐ）模型，按照先进的信息安全管理标准 BS7799 标（biāo）准（zhǔn）建立组（zǔ）织完整（zhěng）的信息安全管理体系并实（shí）施（shī）与保持，达到动态的、系统的、全员参与、制（zhì）度化的、以预防为主的（de）信息安全（quán）管理方式，用（yòng）较低（dī）的成本，达到可（kě）接受的（de）信息（xī）安全水平，就可以从（cóng）根（gēn）本上保（bǎo）证业（yè）务（wù）的（de）连续性。组织建立、实施与保持信息安全（quán）管理（lǐ）体系将会产生如下作用：

· 强化员工的信息安全（quán）意识，规范组织信息（xī）安全行为； 

· 对组织（zhī）的（de）关键信息（xī）资产进行全面系（xì）统的保护，维持竞争优势； 

· 在信息系统受到（dào）侵袭时（shí），确保业务持（chí）续开展并将损失降到（dào）较低程度； 

· 使组织的生（shēng）意伙伴（bàn）和客户对组织（zhī）充满信（xìn）心（xīn）； 

· 如果（guǒ）通过（guò）体系认证，表明体系符合标准，证明（míng）组织有能力保障重要信（xìn）息，提高组织的名度与信任（rèn）度； 

· 促（cù）使管理（lǐ）层坚（jiān）持贯彻信息安全保障体系。 

BS7799标准概述：

· 1995 年，英国贸工部根（gēn）据英国国内企（qǐ）业对信息安全日益（yì）高涨的呼声，组织大企业的信息安全经理们，制（zhì）定了（le）世界上第一个信息（xī）安全管理体系标准 BS7799-1 ： 1995 《信息（xī）安（ān）全管理实施规则》，作为（wéi）工（gōng）商业和大、中（zhōng）、小型组织实施信息安（ān）全管（guǎn）理的指南。由于该（gāi）标准采用建议和指导方式编写，因而不宜作为认证（zhèng）标（biāo）准（zhǔn）使用。 

· 1998 年（nián），为了（le）适应第三方认（rèn）证（zhèng）的需要，英（yīng）国又制定了（le）第（dì）一（yī）个信（xìn）息安全管理体系（xì）认证标准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作为（wéi）对（duì）一个组织的全部或部（bù）分信息安全管理体（tǐ）系进行评审认证（zhèng）的依据（jù）标准。 

· 1999 年，鉴于计算机和信息处理技术（shù），尤其是网络（luò）和（hé）通（tōng）信领（lǐng）域应用（yòng）的迅速发展，英国又对信息（xī）安全（quán）管理体系标准进行（háng）了修订。修订后的 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的 1999 版标准（zhǔn）进一步强（qiáng）调了组织（zhī）在商务（wù）工作中所涉及的信息安全和（hé）信息安全（quán）责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一对配套标准（zhǔn）， BS7799-1 ： 1999 为如何建立和实施符合 BS7799-2 ： 1999 标准要求的（de）信（xìn）息安全管理体（tǐ）系（xì）提供了较（jiào）佳的应用建议。 

· 2000 年 12 月（yuè）， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正式（shì）采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理（lǐ）实施（shī）规则》，另外， BS7799-2 ： 1999 也即将于 2002 年（nián）底被 ISO/IEC 作为蓝（lán）本（běn）修订后成为可用于认（rèn）证的 ISO/IEC 的（de）《信（xìn）息安全管理体（tǐ）系规范》。 

信（xìn）息（xī）安全认（rèn）证是实（shí）现信息安全目标（biāo）的较佳（jiā）途径：

BS7799-2：2002信（xìn）息安全管理体系规（guī）范（fàn）向（xiàng）组织提出了一系（xì）列认证的要求，在总（zǒng）则中提出组（zǔ）织应（yīng）建立并（bìng）保持（chí）一个文（wén）件化的（de）信息安全管理体系，阐述（shù）被保护的资（zī）产、组织风（fēng）险管理的渠道、控制目标及控制（zhì）方式和需要的保证等级；通（tōng）过建立管（guǎn）理架构并加以实施来达到（dào）识别控制目（mù）标和控制方（fāng）式，并形成（chéng）文件和记录。

BS7799-2：2002的（de）控制细则包括10个（gè）方面： 　

· 安全方针：为信息安全提供（gòng）管理（lǐ）指导（dǎo）和（hé）支（zhī）持； 

· 组织安全：建立信息（xī）安（ān）全架（jià）构，保（bǎo）证组织的（de）内部管理（lǐ）；被第三方访问（wèn）或外协时（shí），保障组织的（de）信（xìn）息安（ān）全； 

· 资产的归类与控（kòng）制：明确资产（chǎn）责任（rèn），保持对组织资产的适当保护；将信息进行归类，确保信息（xī）资产受到适当程度的保护； 

· 人员安（ān）全：在工作说明和资源方（fāng）面，减少因人为（wéi）错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清（qīng）楚知道信息（xī）安全的危险（xiǎn）性（xìng）和相关事项，以便在他们的日常工作中支持组织（zhī）的安全方针；制（zhì）定安全事故或故（gù）障的反应程序，减少由安全（quán）事故（gù）和故障造（zào）成的损失（shī），监控安全（quán）事件并从（cóng）这种事件中吸取教训； 

· 实物与环境安全：确定安全区域，防（fáng）止（zhǐ）非授权（quán）访问、破坏、干扰商务场所和信（xìn）息（xī）；通过保障设备安（ān）全，防止资产的（de）丢失、破坏、资（zī）产危害及商务活动（dòng）的中断；采用通（tōng）用的控制方式（shì），防止信息或信息处理设施损坏或失窃； 

· 通信和操作方式（shì）管理：明确操作程序及其（qí）责任，确保信息（xī）处理设施的（de）正确、安全（quán）操（cāo）作；加强系统（tǒng）策划与验收，减少系统失效风（fēng）险；防范恶意软件以保持软件和信息的完整性；加强内（nèi）务管理以保持信息处理和（hé）通讯（xùn）服务的完整性和有效性通过 ; 加强网络管理确保网络中的信息安全及其辅（fǔ）助设施受到保护；通过保护媒体处理的安全 , 防止资产损坏和商务（wù）活（huó）动的中断；加强信息和软件的（de）交换的（de）管理（lǐ），防止组织间在（zài）交换（huàn）信息时发生丢失、更改和误用； 

· 访问控制：按照访问（wèn）控制的商务要求，控制信息访问；加强用户访问管理，防止非（fēi）授权（quán）访问信息系（xì）统；明确用户职责，防止非（fēi）授权的用户访（fǎng）问；加强网（wǎng）络访问控制，保护（hù）网络服务程序；加强操（cāo）作系统访问（wèn）控制 , 防止非授权的计算机（jī）访问；加（jiā）强应用访问控制，防止非（fēi）授权（quán）访问系统中的信息；通过监（jiān）控系统的（de）访（fǎng）问与使用，监（jiān）测非（fēi）授权行（háng）为；在移动式（shì）计算和电传工作方（fāng）面（miàn） , 确保使用（yòng）移（yí）动（dòng）式计算和电传工作设施的信息安全； 

· 系统开（kāi）发与维护：明（míng）确系统安全要求，确保安全性已构成（chéng）信息（xī）系（xì）统的一部份；加强应用系统的安全（quán），防止应用（yòng）系统用户数据（jù）的丢失、被修改或（huò）误用（yòng）；加强密码（mǎ）技术控制，保护信息的（de）保密性、可靠性（xìng）或完整性（xìng）；加强系统文（wén）件的安全，确保（bǎo） IT 方案（àn）及其支持活动以安全的方式进行；加（jiā）强开发和支持过程的安全，确（què）保（bǎo）应用系统软件和信息的安（ān）全（quán）； 

· 商务连续性管理：防止（zhǐ）商务活（huó）动的中断及保护关键商务过程不受重大失误或灾难事故（gù）的影响（xiǎng）； 

· 符（fú）合：符合法（fǎ）律法规要求，避（bì）免刑法、民法、有关（guān）法令法规或（huò）合（hé）同约定事宜（yí）及（jí）其他安全（quán）要（yào）求（qiú）的规定（dìng）相抵触；加强安全方针和技术符合性评审，确保体系按照组织的安全（quán）方针及标准（zhǔn）执行（háng）；系统审核考虑因素，使（shǐ）效果较大化 , 并使（shǐ）系统审核过程的影响较小化。 　 

在国（guó）际标准（zhǔn） ISO/IEC17799 给（gěi）出了为实现信息安全认证所需的各项措（cuò）施的（de）详细指导，具（jù）有（yǒu）很强的可操作性和（hé）指导性。

归根结底，信息安全工作（zuò）的目的就是在法律、法规（guī）、政策的支持（chí）与指导下（xià），通过采用合适的安全（quán）技术与（yǔ）安全管理措施，提（tí）供（gòng）安全需求的保证，而 BS7799 信息安全（quán）认证标准正是总和（hé）了这些要求。组织可以根（gēn）据自身（shēn）特点，在 ISO/IEC 17799 指（zhǐ）导下，实现信息（xī）安（ān）全的要（yào）求（qiú）。

 ISO27001：2005 《信息安全管理体系（xì）要求》

 ISO27001 ： 2005 《信息安全（quán）管理体系要（yào）求（qiú）》是关于信息安全管（guǎn）理（lǐ）的标（biāo）准，是标（biāo）准不（bú）是方法，达（dá）到这（zhè）些（xiē）标（biāo）准的要（yào）求并不难，重要的（de）是用什么（me）方法去实现。企业应将实施标准作为改善内（nèi）部管理的一次机（jī）会，不应该将（jiāng）标准做为一种简单的（de）模式对现有流程运作进行（háng）套用（yòng），应对现有的组织运作流程进行（háng）详细分析（xī），有针（zhēn）对（duì）性地设（shè）计并改善现有管（guǎn）理体系（xì）、改善薄弱环节、改善运（yùn）作流程及内部（bù）沟通，并有效地将先进的管理（lǐ）思（sī）想融（róng）合（hé）到具体的实（shí）施程序中，才能发（fā）挥标准的（de）真正作用。

获得认证证书不是较终目的，建（jiàn）立有责、有序、有效（xiào）的信（xìn）息安全管（guǎn）理（lǐ）体系，提高员工（gōng）的信息安全意识，不断获取并运用（yòng）先进（jìn）的管理方法（fǎ）和技术手段才能（néng）使企业的（de）信息（xī）安全（quán）管理水平得以持续的（de）发展和提升（shēng）。