信息（xī）安全 (Information security): 是（shì）指信息（xī）的保密（mì）性 (Confidentiality) 、完（wán）整性（xìng） (Integrity) 和（hé）可用性 (Availability) 的保持（chí）。

•  保密性（xìng）：为（wéi）保障信息仅仅为（wéi）那些被授权使用的人获（huò）取。

 信息的保（bǎo）密性是针对信息被允许访问（wèn）（ Access ）对象的多少而不同，所有人员都可以访问的信（xìn）息为公开信息，需要限（xiàn）制访问的信息一般为敏感信息或（huò）秘密，秘密可以根据（jù）信息的重要（yào）性及保（bǎo）密要求（qiú）分为不同的（de）密级，例如国（guó）家根据秘密泄露对国家经济、安全利益产生的影响（后果）不同，将国家秘（mì）密分为秘密（mì）、机密和绝（jué）密三个（gè）等级，组织可（kě）根据其信息安全的实际，在符合《国家保密（mì）法》的前提下将其信（xìn）息划分（fèn）为（wéi）不同（tóng）的密级；对（duì）于具体的信息的保（bǎo）密性（xìng）有时效性，如秘密到期解（jiě）密等。

 •  完整性：为保护信息及其处理方法的准（zhǔn）确性和完整性。

信息完整性（xìng）一方面（miàn）是指信息在利用、传（chuán）输、贮存等（děng）过程（chéng）中不被篡改、丢失、缺损等，另一方（fāng）面是指信息处理（lǐ）的（de）方法的正确性。不正（zhèng）当的操作，如误删除（chú）文件，有可能造成重（chóng）要文（wén）件（jiàn）的丢失（shī）。

 •  可用性：为保障授权使用人在需要时可以获取信息和使用相关的资产。

信息的可（kě）用性是（shì）指信息及相关的信息资产在授权（quán）人需要的时（shí）候，可以立即获得。例如通信线路中断（duàn）故障（zhàng）会造成信息的在一段时间内不可用，影响正常的商业（yè）运作，这是（shì）信（xìn）息可用性的破坏。不同类型的信息及相应资产的信息安全在保密（mì）性、完整性及可（kě）用性方面关注点不同（tóng），如（rú）组织（zhī）的专（zhuān）有技术（shù）、市场营（yíng）销计划等（děng）商业秘密（mì）对组织来讲保守机密尤其（qí）重要；而对于工业（yè）自动（dòng）控制系统，控制信息的（de）完整性相（xiàng）对其（qí）保密性重（chóng）要得多。

为什（shí）么需要信（xìn）息安全？

信息、信息（xī）处理过程及对信息起支持作用的信（xìn）息系统和信息网络都（dōu）是（shì）重要的（de）商务资产。信息（xī）的保密性、完整性和可用性对（duì）保持竞争优势（shì）、资金流动（dòng）、效益、法律符合性和商业形象（xiàng）都是至关重要的。然而，越（yuè）来越（yuè）多的组织及其信息（xī）系统和网络面临着（zhe）包括计算机诈（zhà）骗、间谍、蓄意破坏、火灾、水灾（zāi）等大范围的安全威胁，诸如（rú）计算机病毒、计（jì）算机入（rù）侵、 Dos 攻击等手段造成的信息灾难已变得更加普遍 , 有计（jì）划而不易被察觉。组织对信息系统和信息服务的依赖意味着（zhe）更（gèng）易受（shòu）到安全（quán）威胁的（de）破坏，公共和私人网络的互连（lián）及信息资（zī）源的共享增大了实（shí）现（xiàn）访问控制的难（nán）度。许（xǔ）多信息系统本身（shēn）就不是按照安全系统的（de）要求（qiú）来设计的，所以仅（jǐn）依靠技术手段来实现信（xìn）息（xī）安全（quán）有其局（jú）限（xiàn）性，所以信息（xī）安全的（de）实现须得（dé）到管理（lǐ）和程序控制的适（shì）当支（zhī）持。确定应采取哪些控制方式则需要（yào）周密计划（huá），并注意细节。信（xìn）息安全管理至少需要组织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息安全（quán）的专家建议。在信息系（xì）统（tǒng）设计（jì）阶（jiē）段就（jiù）将（jiāng）安（ān）全（quán）要（yào）求和控（kòng）制一体化考（kǎo）虑，则成本会更低、效率会（huì）更高。

 BS7799的信息管理过程：

①确定信息安全管理方针。

②确定 ISMS( 信息安全管理体系) 的范围

③进（jìn）行风险（xiǎn）分（fèn）析。

④选（xuǎn）择（zé）控（kòng）制目标（biāo）并进行控（kòng）制。

⑤建立业务持续计划。

⑥建立并实（shí）施安全管理体系。

 建立（lì）信息安全管理体系的作用：

 任何组织，不（bú）论它在信息（xī）技术方面如何努力以及采纳如何（hé）新的信息安（ān）全技术，实际上在信息安（ān）全管理方（fāng）面都还存在漏洞，例如：

· 缺少信息安全管（guǎn）理论坛，安全导向不明确，管理支持不（bú）明显（xiǎn）； 

· 缺少跨部门（mén）的信息安全协调机（jī）制； 

· 保护特（tè）定资产（chǎn）以（yǐ）及完成特定安全过程的职责还不明确（què）； 

· 雇员信（xìn）息（xī）安全意（yì）识薄弱，缺少防范意识，外来人员很容易直接进入生（shēng）产和工（gōng）作场所（suǒ）； 

· 组织信息系统管理制（zhì）度不够健全； 

· 组织信（xìn）息系（xì）统主机房安全存在隐患，如：防火（huǒ）设施存在问（wèn）题（tí），与危（wēi）险品仓库（kù）同（tóng）处一（yī）幢办公楼等； 

· 组织信息系统备份设备仍有欠缺； 

· 组织（zhī）信息系统安全防范技术投入（rù）欠缺； 

· 软件知识产权保护欠缺（quē）； 

· 计（jì）算机房、办公场所等物理防范措施欠缺（quē）； 

· 档（dàng）案、记录等缺（quē）少可（kě）靠贮存场所； 

· 缺少一旦发生（shēng）意外时（shí）的保证生产经营连续性（xìng）的措施（shī）和（hé）计划； 

        ……等等（děng）。

为（wéi）什（shí）么要建立和实（shí）施ISO27001信息安全管理（lǐ）体系（xì）认证（2）

其实，组织可（kě）以参照（zhào）信息安全管理模型，按照先进（jìn）的信息安全管理标（biāo）准 BS7799 标准建立组织完整的信息安全管理体系并（bìng）实施与保持，达到动态（tài）的、系统的、全（quán）员参（cān）与（yǔ）、制度（dù）化（huà）的、以预（yù）防为主的信息（xī）安全管理方式，用（yòng）较低的成本，达到可接受的信（xìn）息安全水平，就可以从根本上保证业务的连续（xù）性。组（zǔ）织建立（lì）、实施与保持信（xìn）息安全管理体系将会产（chǎn）生如下作用：

· 强化员工的（de）信息（xī）安全（quán）意识，规范组织信息安全行为； 

· 对组织的（de）关（guān）键信息资产进行（háng）全面（miàn）系统的保护，维（wéi）持竞争（zhēng）优势（shì）； 

· 在信息系统受到侵（qīn）袭时，确保业务（wù）持续开展并将损失降到（dào）较低程度； 

· 使组织的生（shēng）意伙（huǒ）伴（bàn）和客户（hù）对（duì）组（zǔ）织充（chōng）满信心（xīn）； 

· 如果通过体系认（rèn）证，表明体系符合标准（zhǔn），证明组织有能力保（bǎo）障重要（yào）信息，提高组（zǔ）织的名度与信任度； 

· 促使管理层坚持贯彻信（xìn）息（xī）安全保障体（tǐ）系。 

BS7799标准概述：

· 1995 年，英国贸工部（bù）根据英国（guó）国内企业（yè）对（duì）信息安全日益高涨的呼声，组织（zhī）大企业的信息（xī）安全经理们，制定了世界上第一（yī）个信（xìn）息安全管理（lǐ）体系标准 BS7799-1 ： 1995 《信息（xī）安（ān）全管（guǎn）理实施（shī）规则》，作为工商（shāng）业和（hé）大（dà）、中、小型（xíng）组（zǔ）织实（shí）施信息安全管（guǎn）理的（de）指南。由于该标准采用建议和指导方（fāng）式编写，因而不宜作（zuò）为（wéi）认证（zhèng）标准使用（yòng）。 

· 1998 年，为了（le）适应第三方认证的需要（yào），英（yīng）国（guó）又制定了第（dì）一个信息（xī）安全管理体（tǐ）系认证标准 --BS7799-2 ： 1998 《信息（xī）安全管（guǎn）理体系规范》，作为（wéi）对一个组织的全部或部分信息安全管理体系进行（háng）评审认证的依据标准。 

· 1999 年（nián），鉴于计算机和信息（xī）处理技术（shù），尤其（qí）是（shì）网络和通信领域应用（yòng）的迅速发展，英国又对信息（xī）安（ān）全管（guǎn）理体（tǐ）系（xì）标准进（jìn）行了修订。修订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修订的（de） 1999 版标准进一步强调了（le）组织在（zài）商务工作中所（suǒ）涉及的信息安全和信息安全（quán）责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一（yī）对配（pèi）套标准（zhǔn）， BS7799-1 ： 1999 为（wéi）如何建立和（hé）实施符合 BS7799-2 ： 1999 标准要求的（de）信息安全管理体（tǐ）系提（tí）供了（le）较（jiào）佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已（yǐ）经被 ISO/IEC 正式采（cǎi）纳（nà）成（chéng）为（wéi）国际标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技（jì）术—信（xìn）息安全管理实施规（guī）则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本修订后成为可用于认证的 ISO/IEC 的《信息安全管（guǎn）理体系规范》。 

信息安（ān）全认证是实现信息安全目标（biāo）的较佳途（tú）径：

BS7799-2：2002信（xìn）息安全管理体系规范向（xiàng）组织提出了一系列认（rèn）证的要求（qiú），在（zài）总则中（zhōng）提出（chū）组织应建立并保持一个文件化的信息安（ān）全管（guǎn）理体系，阐述（shù）被保护的资产、组织（zhī）风险管理的渠道（dào）、控制目标及控（kòng）制方式和需要（yào）的保（bǎo）证（zhèng）等级；通过（guò）建立管理架构并加以（yǐ）实（shí）施来达到识（shí）别控制目标和控制方式（shì），并形成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针：为信息安全提供管理指导（dǎo）和支持； 

· 组织安全（quán）：建立信息安全架构，保证组织的内部管理；被（bèi）第三方访问或外协时，保障组织的信（xìn）息（xī）安全； 

· 资产的归类与控制：明确资产（chǎn）责任，保（bǎo）持对组织资产的适当保护；将信息进行归类（lèi），确保信息资产受到适（shì）当程度的保护（hù）； 

· 人员安全：在工作说（shuō）明（míng）和资源方（fāng）面，减少因人为错（cuò）误、盗窃、欺诈和设施误用（yòng）造（zào）成的（de）风险（xiǎn）；加强用户培训，确保用户（hù）清（qīng）楚知道信（xìn）息安全的危险性和相关事项，以便在（zài）他们的日常工作中支（zhī）持组（zǔ）织的安全方（fāng）针（zhēn）；制定安全事故或故障的反应程（chéng）序（xù），减少由安全事故和故障造成的损失，监控（kòng）安全事件（jiàn）并从（cóng）这（zhè）种事件中吸取教训； 

· 实（shí）物与环境安全（quán）：确（què）定安全区域，防止非授权访问、破坏、干（gàn）扰（rǎo）商务（wù）场所和信息；通过保障设备安全（quán），防止资产（chǎn）的丢（diū）失、破坏、资产危害及（jí）商务活（huó）动的中（zhōng）断（duàn）；采用通用的控制方式，防止信息或信息处理（lǐ）设施损坏（huài）或失窃； 

· 通信和操作（zuò）方式管理：明确操作程序及（jí）其责任，确保（bǎo）信息（xī）处理设施的正确、安全操作；加强系（xì）统策（cè）划与验收，减少系统失效（xiào）风险；防范恶意软件以保持软件和信息的完整性（xìng）；加强内务管（guǎn）理以保持信息处理和通讯服务的（de）完整性和有效性通（tōng）过 ; 加（jiā）强网络管理（lǐ）确保网（wǎng）络中的信（xìn）息安（ān）全（quán）及其辅助设（shè）施受到保护；通过保护媒体（tǐ）处理的安全 , 防止资产（chǎn）损坏和商务活动的中断；加强信息和软件的交（jiāo）换的管理，防止组织间（jiān）在交换信息时发生丢失、更改和误用； 

· 访问控（kòng）制：按（àn）照访问控制的商务要求，控制信（xìn）息访问（wèn）；加强用户访（fǎng）问管理（lǐ），防止非授权访问信息（xī）系统；明确用（yòng）户职责，防止非授（shòu）权的（de）用户访问；加（jiā）强网络访问控制，保护网络服务程序；加强操作系统访问控（kòng）制 , 防止非授权（quán）的（de）计算机（jī）访问；加强应用访问控（kòng）制，防（fáng）止（zhǐ）非授权访问系统中的（de）信息；通过监控系统的访问与使用，监测非（fēi）授权（quán）行为；在（zài）移（yí）动式计（jì）算（suàn）和电传工作方面 , 确保（bǎo）使用移动（dòng）式计算（suàn）和电传工（gōng）作设施（shī）的信（xìn）息安全； 

· 系统开发与维护：明确系统安全要求，确保安全（quán）性（xìng）已（yǐ）构成信息系统的一部份；加强（qiáng）应用系（xì）统（tǒng）的安全，防止应用系统用户数据的丢（diū）失、被修改或误（wù）用；加强密码技术控制，保护信息的保密性、可靠（kào）性或完整性；加（jiā）强系统文件（jiàn）的（de）安全，确（què）保 IT 方案及其支持活（huó）动以安全（quán）的方式进行；加强开发和支持过程的安（ān）全，确（què）保应用系统（tǒng）软件和信息的安（ān）全； 

· 商务连续性管理：防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响； 

· 符（fú）合：符合法律法规要求，避（bì）免刑（xíng）法、民法、有（yǒu）关法令法规或合（hé）同约定事宜及其他安（ān）全要求的（de）规定相抵触；加强安全方针（zhēn）和（hé）技术（shù）符合性评（píng）审，确保体系按照组织的（de）安全（quán）方（fāng）针及标准执行；系统审核（hé）考虑（lǜ）因素，使效果较（jiào）大化 , 并使系（xì）统（tǒng）审核过程（chéng）的影响较小化（huà）。 　 

在国际标准 ISO/IEC17799 给出了为实现（xiàn）信息安全认证所需的各项措施的详（xiáng）细指导，具有很强的可（kě）操作性（xìng）和（hé）指导性（xìng）。

归根结底，信息安全工作的（de）目（mù）的就是在法律（lǜ）、法（fǎ）规、政策的（de）支持与指导下，通（tōng）过采用合适的安（ān）全技术（shù）与安全管理（lǐ）措施（shī），提（tí）供安全需求的保（bǎo）证，而 BS7799 信息（xī）安全认证标准正是总和了这（zhè）些要求。组织可以（yǐ）根据自身特点（diǎn），在（zài） ISO/IEC 17799 指导下，实现信息安全（quán）的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全（quán）管理体系要求》是关于信息（xī）安全（quán）管（guǎn）理的标（biāo）准，是标准不是方法，达到这些标（biāo）准的要求并不难，重要的是用什（shí）么（me）方法去实（shí）现。企业应（yīng）将（jiāng）实施标准作为改善内部管理的一次（cì）机（jī）会，不应该将标准（zhǔn）做为一种简（jiǎn）单的模（mó）式对现（xiàn）有（yǒu）流程运（yùn）作进行套用，应对现有的组织运作流程（chéng）进行详细分析，有针对性地设计（jì）并（bìng）改善（shàn）现有管理体系（xì）、改善薄（báo）弱环（huán）节、改（gǎi）善运作流（liú）程及内部沟通，并有效地将先进的管理思想融合到（dào）具（jù）体（tǐ）的实施（shī）程（chéng）序中（zhōng），才（cái）能发挥标准的（de）真正作用。

获得认（rèn）证证书不（bú）是较（jiào）终目的（de），建（jiàn）立有责、有序、有效的信息安全管理体（tǐ）系，提高员工的信息（xī）安全（quán）意识，不断获取并运用先进的管理方法（fǎ）和（hé）技术（shù）手段才能使企业（yè）的信（xìn）息安全管理水平得以持（chí）续的发展和提升。