信息安全 (Information security): 是指信息（xī）的（de）保密性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为保（bǎo）障信息（xī）仅仅为那些被授权使用的人获取。

 信息的保密性是针对信息被（bèi）允许访问（ Access ）对象（xiàng）的多少而不同（tóng），所有人（rén）员都可（kě）以访问的信息为公（gōng）开信息，需（xū）要限制（zhì）访问的信息（xī）一般为敏感信息（xī）或（huò）秘密，秘（mì）密可以根（gēn）据信（xìn）息的重（chóng）要性及（jí）保密要求分为不（bú）同（tóng）的密级，例如国（guó）家根（gēn）据秘密（mì）泄露对国家经济、安全（quán）利益产生的影响（后果（guǒ））不同，将国家秘密分（fèn）为秘密（mì）、机（jī）密（mì）和绝（jué）密三个等级，组织可根据其信息安全的实际，在（zài）符合《国家保密法》的前（qián）提下将其（qí）信（xìn）息划分为不（bú）同的（de）密级；对于（yú）具体的信息的保密性有时效性（xìng），如秘密到期解密等。

 •  完（wán）整（zhěng）性：为保护信息及其处理方法（fǎ）的（de）准确性和完整性。

信息完整性一方面是指信息在利用（yòng）、传输、贮存等过程（chéng）中不被篡改、丢（diū）失、缺损等，另一方面是指信息处理的（de）方（fāng）法的（de）正确性。不正当的（de）操作（zuò），如（rú）误删除（chú）文件，有可能造成重要文件的丢失。

 •  可用性：为保障授（shòu）权使（shǐ）用人（rén）在需要（yào）时可（kě）以获取信息和使用（yòng）相关的资产（chǎn）。

信息（xī）的可用（yòng）性是指信息及相（xiàng）关（guān）的信息（xī）资（zī）产在授权人（rén）需要的时候，可以立即获得。例如通（tōng）信线（xiàn）路中断故障会造成信息的在一段时间内不可用，影响（xiǎng）正常的商业运作，这是信（xìn）息可用（yòng）性的破坏。不同类型的信息及（jí）相应资产的信息安全在保密性、完整性及可用性方面关（guān）注点不同，如（rú）组（zǔ）织的专有技术（shù）、市场营销计划等商业秘（mì）密对组织来讲保守机密（mì）尤（yóu）其重（chóng）要；而对于工业自动控（kòng）制系统，控制信息的完整性相对其保密性重要得（dé）多（duō）。

为什么需要信息安全？

信（xìn）息、信息处理过程及对信息（xī）起支持（chí）作用的信（xìn）息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用（yòng）性对保持竞争（zhēng）优势、资金流（liú）动、效益、法律符（fú）合性和商（shāng）业形象都是至关重要的。然而，越来越（yuè）多的组织及其（qí）信息系（xì）统和（hé）网络（luò）面临着包括计（jì）算机诈骗、间谍、蓄意破坏、火（huǒ）灾（zāi）、水灾等（děng）大范围的安全威胁，诸（zhū）如计算机病毒、计算机入侵（qīn）、 Dos 攻击等手段造成的（de）信息灾（zāi）难已变得更（gèng）加普遍 , 有计划而不易被察觉。组织对信息系统和信息服务的依赖（lài）意味着更（gèng）易（yì）受到安全威胁的破坏，公（gōng）共和私人网络的互连及（jí）信息资源的共享增大了（le）实现访问控制的难度。许多信息系统本身就不是按照安全系统（tǒng）的要求来设计（jì）的，所以仅依靠技术手段来（lái）实现信（xìn）息安全有其局限性，所以信息安全（quán）的实现须得到管理和程序控制的适当支持。确定应采取（qǔ）哪些控制方式则需要周密计划，并注意（yì）细（xì）节。信息安全管理至少需要组织中的所有雇员的（de）参与，此外还需要供（gòng）应商（shāng）、顾（gù）客或股东的参与和信息安全的专家建议。在信（xìn）息系统（tǒng）设计阶段就将安全要求和控制一体化考虑，则成本会更低（dī）、效率会（huì）更（gèng）高。

 BS7799的（de）信（xìn）息管理（lǐ）过程（chéng）：

①确（què）定（dìng）信息（xī）安全（quán）管理方针。

②确定 ISMS( 信息（xī）安（ān）全管（guǎn）理体系) 的（de）范（fàn）围

③进行风险分析（xī）。

④选择控制目标（biāo）并进行（háng）控制（zhì）。

⑤建（jiàn）立业务持（chí）续计划。

⑥建立并实施安全（quán）管理体系。

 建立信息安全管（guǎn）理（lǐ）体系的作用：

 任（rèn）何组织，不（bú）论（lùn）它在信（xìn）息技术方面如何（hé）努（nǔ）力以及采纳如何新（xīn）的信息安（ān）全技术，实际上在信息安（ān）全管理方面都（dōu）还存（cún）在漏洞，例如（rú）：

· 缺（quē）少信息安全管理论坛，安全（quán）导向不明确，管理支持不明显； 

· 缺少跨部门的信（xìn）息（xī）安全协（xié）调机制； 

· 保护特定（dìng）资（zī）产以及完成特定安全过程（chéng）的职（zhí）责还不明确； 

· 雇员信息安全意（yì）识（shí）薄弱，缺少防范意识，外来（lái）人（rén）员很容易直接进入生产和工作场（chǎng）所； 

· 组织信息系统管理制度不（bú）够健全； 

· 组织信息系统主机房安（ān）全（quán）存在隐（yǐn）患，如：防火设施（shī）存（cún）在（zài）问题（tí），与危险品仓库同处一幢办公楼（lóu）等； 

· 组织信息系统备份设备（bèi）仍有欠缺； 

· 组织（zhī）信息系统安全防（fáng）范技术投入欠（qiàn）缺； 

· 软（ruǎn）件知识产权保护欠（qiàn）缺； 

· 计算机房、办公场所（suǒ）等物（wù）理防范措施欠缺（quē）； 

· 档案、记录（lù）等缺少可靠贮存场所； 

· 缺少一旦发生意外时的保证生（shēng）产经营连续性（xìng）的措施和计划； 

        ……等等。

为什么（me）要建立和（hé）实施（shī）ISO27001信息安（ān）全管理体（tǐ）系认证（2）

其实，组织可以参照信息安全管理模型，按（àn）照先进的（de）信息安全管（guǎn）理标准 BS7799 标准建立组（zǔ）织完（wán）整的（de）信息（xī）安全管理体系并实施与保持（chí），达到动态（tài）的、系（xì）统的、全（quán）员参与、制度化的、以预防为主的信息安全管理方式，用较低的成本，达到可接受的（de）信息安全（quán）水平，就（jiù）可（kě）以从根本上（shàng）保证业（yè）务的连续性。组织（zhī）建立、实施与保持信息安全管理体（tǐ）系将会产生如下作（zuò）用：

· 强（qiáng）化员工的信息安全意（yì）识，规范组（zǔ）织信（xìn）息安（ān）全行为； 

· 对组（zǔ）织的关键（jiàn）信（xìn）息资产进行全（quán）面系统的（de）保护，维持竞争优势； 

· 在信息系（xì）统受到侵袭时，确保业务持续开（kāi）展并将损失降到较低（dī）程（chéng）度； 

· 使组织的生意伙伴（bàn）和客（kè）户对组织充满信（xìn）心； 

· 如果通过体系认（rèn）证，表明体系符合（hé）标准（zhǔn），证明组织（zhī）有能力保障重要信息（xī），提高组织的名度与信任度（dù）； 

· 促使管理（lǐ）层（céng）坚持贯彻信息安全保障体（tǐ）系。 

BS7799标准概述：

· 1995 年，英国贸工部（bù）根据（jù）英国（guó）国内企业对信息安（ān）全日益（yì）高涨的呼声，组织大（dà）企业的信息安全经理们，制定了世（shì）界上第一个信息（xī）安全管（guǎn）理体系标准 BS7799-1 ： 1995 《信息安全（quán）管理实施规则（zé）》，作（zuò）为工商业和大、中、小型（xíng）组织实（shí）施信息安全（quán）管理的指南。由于该标准（zhǔn）采用建（jiàn）议和指导方式编写，因而不宜作为（wéi）认（rèn）证标准使（shǐ）用。 

· 1998 年（nián），为了适应第（dì）三方（fāng）认证的（de）需要，英国又制定了第一个信（xìn）息（xī）安全管理体系（xì）认证标准 --BS7799-2 ： 1998 《信息安全管（guǎn）理（lǐ）体系（xì）规范》，作（zuò）为对一个（gè）组织（zhī）的全部或部分信息安全管理体系进行评审认（rèn）证（zhèng）的依据（jù）标准。 

· 1999 年（nián），鉴于计算（suàn）机和信（xìn）息（xī）处理技术，尤其是网络（luò）和通信领域应用的（de）迅速发展（zhǎn），英国又对信息安全管理体系标（biāo）准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别（bié）取（qǔ）代了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的（de） 1999 版标准进一（yī）步强调了组（zǔ）织在商务工作（zuò）中所涉（shè）及（jí）的（de）信息安全和（hé）信（xìn）息安全（quán）责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为（wéi）如何建立和实施符（fú）合 BS7799-2 ： 1999 标（biāo）准要求的信息安全管理（lǐ）体（tǐ）系提（tí）供了较（jiào）佳（jiā）的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成（chéng）为国际（jì）标准 -- ISO/IEC 17799 ： 2000 《信息技术—信（xìn）息安（ān）全（quán）管理实施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作（zuò）为蓝（lán）本修订后成为可用于认（rèn）证的 ISO/IEC 的《信息安全管理体系规范（fàn）》。 

信息安（ān）全认证是实现信息安全目标的（de）较佳途（tú）径（jìng）：

BS7799-2：2002信息安全管理体系规范向组织提出了一系列认证（zhèng）的要求，在总则中提出组织应建立并保持一（yī）个文（wén）件化的信息安（ān）全管理体系，阐述被（bèi）保护的资（zī）产、组织风险管理（lǐ）的渠道（dào）、控（kòng）制目标及控制方式和需要的保证（zhèng）等级；通（tōng）过建立管理架构并加（jiā）以实施来达到识别控制目标和控制方式（shì），并形成（chéng）文件和（hé）记录。

BS7799-2：2002的控制细则包括10个方（fāng）面： 　

· 安全方针：为信（xìn）息安全（quán）提供管理（lǐ）指导和支（zhī）持； 

· 组织（zhī）安全：建（jiàn）立信息安全架（jià）构，保证组（zǔ）织的内（nèi）部（bù）管理；被第三（sān）方访问或外（wài）协时，保障组织的（de）信（xìn）息安全； 

· 资产的（de）归（guī）类与控制：明确资产责任，保持对组织资产的适当保护（hù）；将信息进行归类（lèi），确（què）保信（xìn）息（xī）资产受到适当程度（dù）的保护； 

· 人员（yuán）安全：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设（shè）施误用造成的风险；加（jiā）强用户培训，确保用户清楚知道信息安全的危险性和（hé）相关事项（xiàng），以便在（zài）他们的（de）日（rì）常工作（zuò）中支持组织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训； 

· 实物与环境（jìng）安全（quán）：确（què）定安全区域，防止非（fēi）授权访问、破坏、干扰商务场所和信息；通过保障设备安全，防止（zhǐ）资产的丢失、破坏、资产（chǎn）危害及（jí）商务活动的中断（duàn）；采用通用的控制方（fāng）式，防（fáng）止（zhǐ）信息或信（xìn）息处理设施损坏或失（shī）窃； 

· 通信和操作方式管理：明确操作程序及其责任，确保信（xìn）息处理设施的正确、安全操作；加强系统策划与（yǔ）验收，减少系（xì）统失效（xiào）风险；防范（fàn）恶意软件以保持软件和信（xìn）息（xī）的完整性；加强内务管理以保（bǎo）持信（xìn）息处（chù）理和通讯服务（wù）的（de）完整性和有效（xiào）性通过 ; 加强网络管理（lǐ）确保网络中（zhōng）的信息安全及其辅助设施受到保护；通过保护媒体处理的安全 , 防止资（zī）产损（sǔn）坏和商务活动（dòng）的中断；加（jiā）强（qiáng）信息（xī）和软件的交换的（de）管理，防止组织（zhī）间在交换信息时发（fā）生（shēng）丢失、更改和误用； 

· 访（fǎng）问控制：按（àn）照访（fǎng）问控制的商（shāng）务要求，控制信息访问；加强用户访问（wèn）管理，防止（zhǐ）非授（shòu）权（quán）访问信息系统；明（míng）确用（yòng）户职责，防（fáng）止（zhǐ）非授权的用户访问；加强网络（luò）访问控制（zhì），保护（hù）网络服务程序；加强操作系（xì）统访问控制 , 防止（zhǐ）非（fēi）授权的计算机访问；加强应用访问控制（zhì），防（fáng）止非授权（quán）访问系统中（zhōng）的信息；通（tōng）过监控（kòng）系统的访问与（yǔ）使用，监测非授权行为；在移动式计算和电（diàn）传工作方面（miàn） , 确保使用移动式计算和电传工作设（shè）施（shī）的信息安全； 

· 系统开发与维（wéi）护：明确（què）系（xì）统安全要求（qiú），确保安全性（xìng）已构成（chéng）信息系统（tǒng）的一部（bù）份；加强应用系统的安全，防止应（yīng）用系统用户数据的丢失、被（bèi）修（xiū）改或误用；加强密码（mǎ）技术控制，保护（hù）信息（xī）的保（bǎo）密（mì）性、可靠性或完整性（xìng）；加强（qiáng）系统文件的安全，确保 IT 方案及（jí）其支持活（huó）动以安全的方式进行（háng）；加（jiā）强开（kāi）发和支持过程的安全，确保（bǎo）应用系统软件和信息（xī）的安全； 

· 商务连续性（xìng）管理：防止商（shāng）务活（huó）动的中（zhōng）断及保护关键商务过程不受重大失（shī）误或（huò）灾难事故的（de）影（yǐng）响； 

· 符合：符合（hé）法律法规要求，避（bì）免刑（xíng）法、民法、有关（guān）法令法规或合同约定（dìng）事（shì）宜及其他安全要求的规定相抵触；加强安全（quán）方针和技术（shù）符合性评审（shěn），确保体系按照组（zǔ）织的（de）安全方针及标准（zhǔn）执（zhí）行；系统审核考（kǎo）虑因素（sù），使效果较大化 , 并（bìng）使（shǐ）系统审核（hé）过程的影响（xiǎng）较小化。 　 

在（zài）国际标准 ISO/IEC17799 给出了为实现信息（xī）安全认证所需的各（gè）项措（cuò）施的详细（xì）指导，具（jù）有（yǒu）很强的可（kě）操作性（xìng）和指导性。

归（guī）根（gēn）结底，信息安全工作的（de）目的就是在法律、法（fǎ）规、政（zhèng）策的支持（chí）与指（zhǐ）导下，通（tōng）过采用合适的安全技术与安全管理措施，提供（gòng）安全需求的（de）保证（zhèng），而 BS7799 信息安全认证（zhèng）标准正是总和了（le）这（zhè）些要求。组织可（kě）以（yǐ）根据（jù）自身特点，在 ISO/IEC 17799 指导下，实现信息安全（quán）的要求。

 ISO27001：2005 《信息安全管理体系要求（qiú）》

 ISO27001 ： 2005 《信息安全管理（lǐ）体系要求》是关于信息（xī）安全（quán）管理的（de）标准，是标准不是方法，达到这些标准的要求并不难（nán），重要的（de）是用什么方（fāng）法（fǎ）去实现。企业应将实施标准作为改（gǎi）善内部管理的一次机会，不应该将标准做为一种简单的模式对现有流程运作进行套用，应对现（xiàn）有的组织运作流程进行详（xiáng）细分析，有针对性（xìng）地设计并（bìng）改善现有管理体系、改善（shàn）薄（báo）弱（ruò）环节、改善（shàn）运作流程及（jí）内（nèi）部沟通（tōng），并有效地将先进的管理思想融合（hé）到具体的实施（shī）程序中，才能发挥（huī）标准的（de）真正作（zuò）用（yòng）。

获得（dé）认（rèn）证证书不是较终目（mù）的，建立有责、有序、有效的信息安（ān）全（quán）管理体系，提高（gāo）员工的信息安全意识，不断获（huò）取并运用先进的管理方法和技术手段才能使企业的信（xìn）息安全（quán）管理水平得以持（chí）续的发展和提升。