信息（xī）安全 (Information security): 是指信息的保（bǎo）密性 (Confidentiality) 、完整性（xìng） (Integrity) 和可（kě）用（yòng）性 (Availability) 的保持。

•  保密（mì）性（xìng）：为保障（zhàng）信息（xī）仅仅为那些被授权使用的人获取。

 信息的保（bǎo）密性（xìng）是针对信息（xī）被允许访问（ Access ）对象的多少而不同，所有人员（yuán）都可以访问的信息为公开（kāi）信息，需要限制访问的（de）信息一般为敏（mǐn）感信（xìn）息或秘密（mì），秘密可以根据信息的（de）重（chóng）要（yào）性及保（bǎo）密要求（qiú）分为不同（tóng）的（de）密级（jí），例如国家根据秘（mì）密泄露（lù）对国家（jiā）经济、安全利益产生的影响（后果）不同，将（jiāng）国家秘（mì）密分为秘密、机密和绝密三个等级，组织可根据其信息安（ān）全的实际，在符合《国家保密法》的前提（tí）下（xià）将其（qí）信息（xī）划分为不同（tóng）的密级；对于具体的（de）信息的保密性有时效性，如（rú）秘密到期解密等（děng）。

 •  完整性：为（wéi）保护信（xìn）息及其处（chù）理方法的准确性和完整性（xìng）。

信（xìn）息（xī）完整性（xìng）一方（fāng）面是指信息（xī）在利用、传输、贮存等过程中不被篡（cuàn）改（gǎi）、丢失、缺损等，另一方面是指（zhǐ）信息（xī）处理的方法的正确性。不正当的操作，如误删除文件，有可能造成重（chóng）要文件的（de）丢（diū）失（shī）。

 •  可用性：为保障授权使用人（rén）在需要时可以获取信（xìn）息和使用相关的资产。

信息的可用性是指信息及相关的信息（xī）资产在授权人（rén）需要的时（shí）候，可（kě）以立即获（huò）得。例如通信线路中断故障会造成信息的（de）在一段（duàn）时间（jiān）内（nèi）不可用，影响正常的商业运作，这（zhè）是信息可（kě）用（yòng）性（xìng）的破坏。不同（tóng）类型的信息及相应资产的信息安全在（zài）保密（mì）性、完（wán）整（zhěng）性及可用性方面关注点不同，如（rú）组（zǔ）织的专有（yǒu）技术（shù）、市场营（yíng）销计划等商业秘密对（duì）组织来讲保守机（jī）密尤（yóu）其重要；而对（duì）于工业自动控制系统，控制信息的完整性相（xiàng）对其保密性重要（yào）得多。

为（wéi）什么（me）需要（yào）信息安全？

信息、信息处（chù）理过程及对（duì）信息（xī）起支持（chí）作用的信息系统和信息网络都是（shì）重要的商务资产（chǎn）。信（xìn）息的（de）保密性、完整性和可用性对保持竞争（zhēng）优势、资金流动、效益、法律符合性和商业形象（xiàng）都是至关重要的。然（rán）而（ér），越来越（yuè）多的组织及其信息系统和网络面临着包括（kuò）计算（suàn）机诈骗、间谍、蓄意破坏、火灾、水灾（zāi）等大范围的（de）安全（quán）威胁，诸如计（jì）算机病（bìng）毒、计算机入侵、 Dos 攻击等手段造成的信息灾难已变得更加普遍 , 有计（jì）划而不易被察觉。组织对信（xìn）息系统和信（xìn）息服务的（de）依赖（lài）意味着更（gèng）易受到安（ān）全威胁的破坏，公共和（hé）私（sī）人网络的互连及信息资源的共享增（zēng）大了实现访问（wèn）控制的难度。许多信息系统本身（shēn）就（jiù）不是按照（zhào）安全系统的要求来设计（jì）的，所以仅（jǐn）依靠技术手（shǒu）段来实现信息安全有其局限性，所以信（xìn）息安全（quán）的实（shí）现须得到管理和程序控制（zhì）的适当支（zhī）持。确定应采取哪些控制方式则需要（yào）周密计划，并注意（yì）细（xì）节。信息安全管理至少需要（yào）组织中（zhōng）的（de）所有雇员的参与，此外还需（xū）要供应商、顾客或股东的参与和信息安全的专家（jiā）建议。在信息系（xì）统（tǒng）设（shè）计（jì）阶（jiē）段就将安全要求和控制一（yī）体化考虑（lǜ），则成本会更（gèng）低、效率会更高。

 BS7799的信息管理过程：

①确（què）定信息（xī）安全管理方针（zhēn）。

②确定 ISMS( 信息安全管理体系) 的范（fàn）围（wéi）

③进行（háng）风险（xiǎn）分析。

④选（xuǎn）择控制目标并进（jìn）行控制。

⑤建（jiàn）立业务持续计（jì）划。

⑥建立并实施安全管（guǎn）理体系。

 建立信息安全管理体（tǐ）系的作用：

 任何组织，不（bú）论它在信（xìn）息技术方面如何努力以及（jí）采纳（nà）如何新的信息安全技术，实际（jì）上在（zài）信息安全（quán）管理方面（miàn）都还（hái）存在漏洞，例如（rú）：

· 缺少信息安全管理论坛，安（ān）全导向不明确（què），管理支（zhī）持不明显（xiǎn）； 

· 缺（quē）少跨（kuà）部门的信息安全（quán）协调（diào）机制； 

· 保护特定（dìng）资产以及完成特定安全过程的（de）职（zhí）责还不明（míng）确； 

· 雇（gù）员信息安全意识薄弱，缺少防范意识，外来人员很容易直（zhí）接进（jìn）入（rù）生产和（hé）工作场所； 

· 组织（zhī）信息系统管理制度（dù）不够（gòu）健全； 

· 组织信息（xī）系统主机（jī）房（fáng）安全存在隐患，如：防火设（shè）施存在（zài）问题，与危险品仓库同（tóng）处一幢办公楼等； 

· 组织信息系统备（bèi）份设备仍有欠缺； 

· 组织信息系统安全防范技（jì）术投（tóu）入欠缺； 

· 软件知识（shí）产权保护（hù）欠缺； 

· 计算（suàn）机房（fáng）、办（bàn）公（gōng）场所等物（wù）理防（fáng）范措施欠缺； 

· 档案（àn）、记录等缺（quē）少（shǎo）可靠（kào）贮存场所（suǒ）； 

· 缺少一旦发生意外时的（de）保证生（shēng）产经营（yíng）连续性的措施和（hé）计划； 

        ……等等。

为什么要建立和实施ISO27001信息安全管理（lǐ）体系认证（2）

其实，组织可以参照（zhào）信息安全管理（lǐ）模型，按（àn）照先（xiān）进的信息安全（quán）管理标准 BS7799 标准建立组织完整的信息安全管理体系并（bìng）实施与保（bǎo）持，达到动态（tài）的、系统的、全员参与（yǔ）、制度化（huà）的、以预防（fáng）为主（zhǔ）的信息（xī）安（ān）全管理方（fāng）式，用较低（dī）的成本，达到可接（jiē）受的信息安全（quán）水（shuǐ）平，就可以从根本上保证（zhèng）业务（wù）的连（lián）续性。组（zǔ）织建立、实施与（yǔ）保持信息安全管理体系将（jiāng）会产生如下作用：

· 强化员工的（de）信息安全（quán）意识，规范组织信息安全（quán）行为； 

· 对组织的关键信息资产进行全面系统的保护，维（wéi）持竞（jìng）争优势； 

· 在信（xìn）息系统受到侵袭时，确保业务持续开展并（bìng）将损（sǔn）失降到较低程度； 

· 使（shǐ）组织（zhī）的（de）生意伙伴（bàn）和客户对组织充（chōng）满信（xìn）心； 

· 如果通（tōng）过体系（xì）认（rèn）证，表明（míng）体（tǐ）系符（fú）合标（biāo）准，证明组织（zhī）有（yǒu）能力保障（zhàng）重要信（xìn）息，提高组织的（de）名（míng）度（dù）与信（xìn）任度； 

· 促使管理层坚持贯彻信息安全（quán）保障（zhàng）体系。 

BS7799标准概述：

· 1995 年，英国贸（mào）工部（bù）根据英国国（guó）内企业对信息安（ān）全日益高涨（zhǎng）的呼声，组（zǔ）织大企业的信息安全经理们，制定了（le）世界上第一个信（xìn）息安全管理体系标准 BS7799-1 ： 1995 《信息安全管理实（shí）施规则》，作为工商业和大、中、小（xiǎo）型组织实（shí）施信息（xī）安全管理的指南。由（yóu）于该标准采用建议和指导方式编写，因而不宜作为认（rèn）证标准使用。 

· 1998 年，为了适应第三方（fāng）认证的（de）需（xū）要，英国又制定（dìng）了第一个信息安全管理（lǐ）体系认证标准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作为（wéi）对一个组（zǔ）织的全部或部（bù）分信息安全管理体系进行评审认证的依据（jù）标（biāo）准。 

· 1999 年，鉴于计（jì）算机和信息处理技术，尤其是网络和通信领域应用的迅（xùn）速发展，英国又对信息安全管理体系标准（zhǔn）进行了（le）修订（dìng）。修订（dìng）后的 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一（yī）步强（qiáng）调了组（zǔ）织在商务工作中所（suǒ）涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如（rú）何建立（lì）和实施符合 BS7799-2 ： 1999 标准要（yào）求的信息安全管（guǎn）理体系提供了较佳的应用建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正（zhèng）式（shì）采（cǎi）纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技（jì）术—信息（xī）安全（quán）管（guǎn）理实施规（guī）则（zé）》，另外， BS7799-2 ： 1999 也即将于 2002 年（nián）底（dǐ）被 ISO/IEC 作为蓝本修订后成为可用于认证（zhèng）的 ISO/IEC 的（de）《信息安（ān）全管理体系规范》。 

信息（xī）安全认证是实现信（xìn）息安全目（mù）标的较佳途径（jìng）：

BS7799-2：2002信息安（ān）全管理体系规范（fàn）向组织提出了（le）一（yī）系列（liè）认证（zhèng）的要求，在（zài）总则（zé）中提（tí）出组织应建立并（bìng）保持一个（gè）文（wén）件化（huà）的信息安全（quán）管理体系，阐述被保护（hù）的资产、组织风险（xiǎn）管理的渠道、控制（zhì）目标及控制方式和需要的保证（zhèng）等级；通过建立（lì）管理（lǐ）架（jià）构并加以（yǐ）实施来达（dá）到识别控制目标和控制方式，并（bìng）形成文件和记录。

BS7799-2：2002的控制细则包括（kuò）10个方面（miàn）： 　

· 安全方针：为信息安全提供（gòng）管理指导和支持； 

· 组织（zhī）安（ān）全：建立信息安全（quán）架构，保（bǎo）证（zhèng）组织的内部管理；被（bèi）第三方访问或外协时（shí），保障组织的信息安全； 

· 资（zī）产的归类与控制：明确资（zī）产责任，保持对组织资产的（de）适当保护；将信息进行归（guī）类，确保信息资产受到适当程度的保护； 

· 人员安全：在（zài）工作（zuò）说明和资源方面，减少（shǎo）因人为错误、盗（dào）窃、欺（qī）诈和设施误（wù）用造（zào）成的（de）风险；加强（qiáng）用（yòng）户培训，确保用户清楚知道信（xìn）息安全的危（wēi）险性和相关事项，以（yǐ）便在他们（men）的日常工作中（zhōng）支持组织的（de）安全方（fāng）针（zhēn）；制定安（ān）全事故或故障（zhàng）的反应（yīng）程（chéng）序，减少由安全事故和（hé）故障造成（chéng）的损失，监控安全事（shì）件并从这（zhè）种事件（jiàn）中吸取（qǔ）教训； 

· 实物与（yǔ）环境安全：确定安全（quán）区域（yù），防（fáng）止非授权访问、破坏、干扰商务场所和信息；通过保障设备安全，防止资产的丢失（shī）、破坏、资产危害及（jí）商务活动的（de）中（zhōng）断；采用（yòng）通用的控制（zhì）方式，防止信息（xī）或信息（xī）处理设施损坏或失窃； 

· 通信和操作方式管理：明确操作程（chéng）序及其责任，确保信息处理设施的正确、安全操作；加（jiā）强系统（tǒng）策划与验收，减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加（jiā）强内务管理以保持信息处理和通讯服务的完整性和有效性通（tōng）过 ; 加（jiā）强网络（luò）管理确保（bǎo）网络中（zhōng）的信息（xī）安全及（jí）其辅（fǔ）助设施（shī）受到保（bǎo）护；通过保护媒体处理的安全 , 防止资（zī）产损坏和商（shāng）务活动（dòng）的中断（duàn）；加（jiā）强信息和软件的（de）交换的管理（lǐ），防（fáng）止组织间在交（jiāo）换信息时发生丢失（shī）、更改和误用（yòng）； 

· 访问控制（zhì）：按照访问控（kòng）制的商（shāng）务要求（qiú），控制信息访问；加强用户访问管理，防止非授（shòu）权访问信息系统（tǒng）；明确用（yòng）户（hù）职责，防止非授（shòu）权的（de）用户访（fǎng）问；加强（qiáng）网（wǎng）络访问控制（zhì），保（bǎo）护网络服务程序；加强操（cāo）作（zuò）系（xì）统访问控制 , 防止非（fēi）授权（quán）的计算机访问；加强（qiáng）应用访问控（kòng）制，防止非（fēi）授权访问系统中（zhōng）的信（xìn）息（xī）；通过监控系统的访问与使用，监测（cè）非授权行（háng）为（wéi）；在移（yí）动式计算和（hé）电传工（gōng）作方面 , 确保使用移动式计算和电传工作设施的信息安全； 

· 系统开发与维护：明确系统安全（quán）要求，确保安全性已构成信息系统的一部份；加强应用系统的安全，防止应用系统用（yòng）户数据的丢失（shī）、被（bèi）修改或误用；加强（qiáng）密码技术控制，保护（hù）信息的保密（mì）性（xìng）、可靠性或完整（zhěng）性；加（jiā）强系统文（wén）件的安全，确保 IT 方案及其支持活动以安全的（de）方式进行；加强开发和支持过程的安全，确保应用系统软件和（hé）信（xìn）息的（de）安全； 

· 商务连续性（xìng）管理：防止商务（wù）活动的中断及保护关键商务过程不受（shòu）重大失（shī）误（wù）或灾难事故（gù）的影响； 

· 符合：符合法（fǎ）律法规要求，避免刑法、民法、有关法令法（fǎ）规或合同约定（dìng）事宜及（jí）其他（tā）安全要求的规定相抵触；加强安全（quán）方针和技术符合性评审，确保体系按照组织的安全方针及标准执行；系统审核考虑（lǜ）因素（sù），使效果较大化 , 并使系统审（shěn）核过（guò）程（chéng）的影（yǐng）响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信（xìn）息安全认证所需的各项措施（shī）的详（xiáng）细指导，具有（yǒu）很强的可操作性和指导性。

归（guī）根结底，信息安全（quán）工（gōng）作（zuò）的目（mù）的就是（shì）在法律（lǜ）、法（fǎ）规、政策的支持与指（zhǐ）导（dǎo）下，通过采用合适的安全技术与安（ān）全管理措（cuò）施，提供安（ān）全需求的保证，而 BS7799 信息（xī）安全认证标（biāo）准（zhǔn）正是（shì）总和了这些要求。组织可以（yǐ）根（gēn）据自身（shēn）特点，在 ISO/IEC 17799 指导下，实现信（xìn）息安全（quán）的（de）要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息（xī）安全管理体（tǐ）系（xì）要（yào）求》是关于信息安全（quán）管（guǎn）理的标（biāo）准（zhǔn），是标准不是方法，达到（dào）这（zhè）些标准的要求并不难，重要（yào）的是用什么方法去实现。企业（yè）应将（jiāng）实施（shī）标准作为（wéi）改善内部管理的一次（cì）机会，不（bú）应该将（jiāng）标准（zhǔn）做为一种简单的模式对现有流程运作进行套用，应对（duì）现（xiàn）有的组织运作流程进行详细（xì）分析，有针对性地设计（jì）并改善现（xiàn）有管理（lǐ）体系、改善薄弱环节、改善运作（zuò）流程及内部沟通，并有效地将先进（jìn）的管理思想融合（hé）到具体的实施程（chéng）序中，才能发挥标准的（de）真正作用（yòng）。

获得（dé）认证证书不是较终目的，建（jiàn）立有（yǒu）责、有序、有效的信息（xī）安全（quán）管理（lǐ）体系，提高员工的信息安全意识，不断获取并（bìng）运用先进的管理方（fāng）法和技术（shù）手段才能使企业的信息安（ān）全管理水平得以持续的发展和提升。