信（xìn）息安全 (Information security): 是指信息的保密性（xìng） (Confidentiality) 、完整（zhěng）性 (Integrity) 和可用（yòng）性 (Availability) 的保持。

•  保密性（xìng）：为保障信息（xī）仅（jǐn）仅为那些被授权使用的人获取。

 信（xìn）息的保密性是针对信息被（bèi）允许访问（ Access ）对象的多少而不（bú）同，所有人员（yuán）都（dōu）可以访问的信（xìn）息为公开信息，需要限（xiàn）制访问的信（xìn）息一般为敏感信（xìn）息或秘密（mì），秘密可以根据信息的重要性及（jí）保密（mì）要求分为不同的密级，例如国家（jiā）根据秘密泄露对国家经济、安全利益产生（shēng）的影响（后果（guǒ））不同，将国家秘密分（fèn）为秘密、机密和绝密（mì）三（sān）个等级，组织可根据其信息（xī）安（ān）全的（de）实际，在（zài）符（fú）合《国家保密法》的（de）前（qián）提下（xià）将其信息（xī）划分为不同的密级；对于（yú）具体的信（xìn）息的保密性有时效性，如（rú）秘密到期解密等。

 •  完（wán）整性：为（wéi）保护（hù）信息及其处（chù）理方法的准（zhǔn）确性和完整性。

信息完整性一方面是指信息（xī）在利用、传输、贮（zhù）存等过程中不被篡改、丢失（shī）、缺损等，另一方面是（shì）指信息处理的方法的正确（què）性。不正当的操作，如误删除文件，有可（kě）能造成重要（yào）文（wén）件的丢失。

 •  可（kě）用（yòng）性：为保障（zhàng）授权使（shǐ）用人（rén）在（zài）需要时可以获取信（xìn）息和（hé）使用相（xiàng）关的资产。

信息（xī）的可用性是指信息及相关的信息（xī）资产在授权（quán）人需要的时候，可以（yǐ）立即（jí）获得。例如通信线路（lù）中（zhōng）断故（gù）障会造成信（xìn）息的（de）在一段（duàn）时间内（nèi）不可用，影（yǐng）响正常的商（shāng）业运（yùn）作（zuò），这是信息可用性（xìng）的破坏。不同类型（xíng）的信（xìn）息及相应资产的信（xìn）息安全在保密性、完（wán）整性及可用（yòng）性方（fāng）面关注点（diǎn）不同，如组（zǔ）织（zhī）的专有技术、市场营销计划等商业（yè）秘密对组织来讲保守机密尤其重要（yào）；而对于工业自（zì）动控制系统，控制信息的（de）完整性（xìng）相对其保密性重要得多。

为什么需要信息安全？

信息、信息处（chù）理（lǐ）过程及对信（xìn）息（xī）起（qǐ）支持作用（yòng）的信息系统和信息网络都（dōu）是重要的商务资产。信（xìn）息的保密性、完（wán）整性（xìng）和可用（yòng）性对（duì）保（bǎo）持竞争优势、资金流动、效益、法律符（fú）合性和商业形象都（dōu）是至关重要（yào）的。然而，越来（lái）越多的组织及其信息系统和网络（luò）面临着包（bāo）括计算机诈骗、间谍、蓄意破坏、火灾、水（shuǐ）灾等大范围的安全威（wēi）胁，诸如（rú）计算机（jī）病毒、计算机入（rù）侵、 Dos 攻击等手段造成的信息（xī）灾难已变得更加普遍 , 有计划而不（bú）易被察觉。组织对信息（xī）系统和信息（xī）服务的依赖意味着更（gèng）易受到（dào）安全威（wēi）胁的破坏，公共（gòng）和私人（rén）网络的互连及信息资源的共（gòng）享（xiǎng）增大了实（shí）现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段（duàn）来实（shí）现信息安全有其局限（xiàn）性，所以信息安全的实现（xiàn）须得到管理和程序（xù）控制的适当支持。确定应采取哪些控制方式则需（xū）要周密计划，并注意细节。信息安全管理至少（shǎo）需要组织中的所有雇员（yuán）的参与，此外还需要供应商（shāng）、顾客或股东的参与和信息（xī）安全的专家建议。在信（xìn）息系统设（shè）计阶（jiē）段就将安全要求和（hé）控制一体化考虑，则成本会更低、效率会更高。

 BS7799的信息管（guǎn）理过（guò）程（chéng）：

①确（què）定（dìng）信息（xī）安全管理方针。

②确定 ISMS( 信息安全管理体系) 的范围

③进行风险分（fèn）析。

④选择控制目（mù）标并进（jìn）行控制。

⑤建立业务持续计划。

⑥建立并实施安全（quán）管理（lǐ）体系。

 建立信息安全管理体系的作用：

 任何组织，不论它在信息（xī）技术方面如（rú）何努（nǔ）力（lì）以及采纳如何新的信息（xī）安全技（jì）术，实际上在信（xìn）息安全（quán）管（guǎn）理方面都还存在漏洞，例如（rú）：

· 缺（quē）少信息安全管理论坛，安全导向不明确，管理（lǐ）支持（chí）不明显（xiǎn）； 

· 缺少跨部门的（de）信（xìn）息安全协（xié）调机制； 

· 保护特定资产以及完成特定安（ān）全过程的职责（zé）还（hái）不明确； 

· 雇（gù）员信（xìn）息安全意（yì）识薄弱，缺（quē）少防范意识，外来人员很容（róng）易（yì）直（zhí）接进（jìn）入生产和工作场所； 

· 组织信息系统管理制（zhì）度不够健全； 

· 组织（zhī）信（xìn）息系统主机房安全存在隐患（huàn），如：防火设施存在问题，与危险品仓库同处一幢办（bàn）公楼等； 

· 组织信息系（xì）统备份设备仍有欠（qiàn）缺； 

· 组（zǔ）织信息系统安全防范技（jì）术（shù）投入欠缺； 

· 软件知识产权保护欠缺； 

· 计算机房、办公场所等物理防范（fàn）措施欠缺； 

· 档案、记录等缺少可（kě）靠贮存场所； 

· 缺少（shǎo）一旦发生（shēng）意外时的（de）保证（zhèng）生产（chǎn）经营连续性的措施和计划； 

        ……等（děng）等。

为什么要（yào）建立（lì）和实施ISO27001信息安全管理体（tǐ）系认证（2）

其实，组织可以参照信息安全管（guǎn）理模型（xíng），按（àn）照先进的信息安（ān）全管理（lǐ）标准 BS7799 标准建立组织（zhī）完整的信（xìn）息安全管理体（tǐ）系并（bìng）实施与保持，达到动态的、系统的、全员（yuán）参与、制度化的（de）、以预防为（wéi）主的信息安全（quán）管理（lǐ）方式（shì），用（yòng）较（jiào）低的成本，达到可（kě）接受的信息安全水（shuǐ）平，就可以从根本上保证（zhèng）业务的连续性。组织建立、实施与（yǔ）保持（chí）信息安全（quán）管（guǎn）理体系将会产（chǎn）生（shēng）如下作用：

· 强化员工（gōng）的信息（xī）安全意（yì）识，规（guī）范组织信息安全行为； 

· 对（duì）组（zǔ）织的（de）关键信息资产进（jìn）行（háng）全（quán）面系统（tǒng）的保（bǎo）护，维（wéi）持竞争优势； 

· 在信息系统受到侵袭时，确保业务持续开展并将损失（shī）降到较低程度； 

· 使组织的生意伙伴和客户对组织（zhī）充满（mǎn）信心； 

· 如果（guǒ）通过体系认证，表明体系符（fú）合标准，证明组织有能（néng）力保障重要信息，提高组织的名度与信任（rèn）度； 

· 促（cù）使管理层（céng）坚持贯彻信息安全保障体系。 

BS7799标准概述：

· 1995 年，英国贸工部根据英国国内企业对信息安全（quán）日（rì）益高涨的呼（hū）声，组织大企业的（de）信息安全经理们，制（zhì）定（dìng）了世界（jiè）上第一（yī）个信（xìn）息安全管理体（tǐ）系标准 BS7799-1 ： 1995 《信息安全管理实（shí）施规（guī）则》，作为工商业（yè）和（hé）大、中、小（xiǎo）型组织（zhī）实（shí）施（shī）信息安全管理的指南。由于该标准采用建议和指导（dǎo）方（fāng）式编写，因而不宜作为认证标准使用。 

· 1998 年，为了适（shì）应（yīng）第三方认证的（de）需（xū）要，英国（guó）又制（zhì）定（dìng）了（le）第（dì）一（yī）个信息安全管（guǎn）理体系认证（zhèng）标准 --BS7799-2 ： 1998 《信（xìn）息安全（quán）管理体系规范》，作（zuò）为（wéi）对一个组织的全部或部分（fèn）信（xìn）息安全管理体系进行评（píng）审认证（zhèng）的（de）依据标准。 

· 1999 年（nián），鉴（jiàn）于计算机和信（xìn）息处（chù）理技（jì）术（shù），尤其是网（wǎng）络和通信领域应用（yòng）的迅速（sù）发展，英国又（yòu）对信息安（ān）全管理体系标准进行了修订。修（xiū）订后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修（xiū）订的（de） 1999 版标准进（jìn）一步强调了组织在商务（wù）工作（zuò）中所涉及的信息安全和信息（xī）安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一对配套标准（zhǔn）， BS7799-1 ： 1999 为如何建（jiàn）立和实施符合 BS7799-2 ： 1999 标准要求的信息安全管理体系提供了较佳的应用建（jiàn）议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已（yǐ）经被 ISO/IEC 正式采纳成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施规则》，另（lìng）外， BS7799-2 ： 1999 也即（jí）将（jiāng）于 2002 年底被 ISO/IEC 作为蓝本修（xiū）订后成为可用于（yú）认证的 ISO/IEC 的《信（xìn）息安全管理体系规范》。 

信息安全认证（zhèng）是实现信息安全（quán）目标的较佳途径：

BS7799-2：2002信息安全管理体系（xì）规范向组织提出（chū）了（le）一系列认证的要求，在总则（zé）中提出（chū）组织应建（jiàn）立并保持一（yī）个文件化的信（xìn）息安（ān）全（quán）管理体系，阐述被保护的资产、组织风险管理的渠道、控制（zhì）目标及控制（zhì）方（fāng）式和需要的（de）保证等级；通过建立管理架构并加以实（shí）施来达到（dào）识别控制目标和控制方式，并形成文件和记（jì）录。

BS7799-2：2002的控制细则（zé）包括10个方面： 　

· 安全方针：为信（xìn）息安全（quán）提供管理指导和支持； 

· 组（zǔ）织安全（quán）：建立信息安全架构，保证组（zǔ）织的内部管理；被第三（sān）方访问或外协时（shí），保（bǎo）障组织的信息（xī）安全； 

· 资产（chǎn）的归类与（yǔ）控制：明确资产责（zé）任，保持对组织资产的适当保护；将信息（xī）进行（háng）归类，确保（bǎo）信息资产受到适当程度的保护； 

· 人员安全：在（zài）工作（zuò）说（shuō）明和（hé）资源方（fāng）面，减少因人为错误、盗窃、欺诈和设施误用（yòng）造（zào）成（chéng）的风（fēng）险（xiǎn）；加强用户培训，确保用户清（qīng）楚知道信息安全的危险（xiǎn）性和相关事（shì）项，以便在他们的日（rì）常工作（zuò）中支持组（zǔ）织的安（ān）全方针；制定安全事故（gù）或故障的反应程序（xù），减少由安全事（shì）故和（hé）故障造成的损失，监控安全事（shì）件并从这种事件中吸取（qǔ）教训； 

· 实物与环境安全（quán）：确定安（ān）全区（qū）域（yù），防止非授权访问、破坏、干（gàn）扰商务（wù）场所和信（xìn）息；通过保障设备安全，防止资（zī）产（chǎn）的丢失（shī）、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信（xìn）息（xī）或信息处理设施损坏（huài）或（huò）失窃； 

· 通（tōng）信和（hé）操作方式管理：明确操作程序及（jí）其责（zé）任，确保信息处理设施的正确、安（ān）全操作；加强系统策划与验收，减少系统（tǒng）失效（xiào）风（fēng）险；防范恶意软件以保持软件和（hé）信（xìn）息的完整（zhěng）性；加强内务管理（lǐ）以（yǐ）保持信息处理和通讯服务的（de）完整性（xìng）和有效性通过 ; 加强网（wǎng）络管理确（què）保网络中的信息安全及其（qí）辅助设施受到保护；通过（guò）保护媒体处理的安全 , 防止资产损（sǔn）坏和商务活动的中断；加（jiā）强信息和软件的交（jiāo）换（huàn）的管理，防止组织间在交换信息时发（fā）生（shēng）丢失、更改和误用（yòng）； 

· 访问（wèn）控（kòng）制（zhì）：按照访（fǎng）问控制的商务要（yào）求，控制信（xìn）息访问；加强用户访问管理，防止非授权访问信息系统；明确（què）用户职责，防止非授（shòu）权的用（yòng）户访问；加强网络访问控制（zhì），保（bǎo）护（hù）网络服务程（chéng）序；加（jiā）强（qiáng）操作系统访（fǎng）问（wèn）控制 , 防止（zhǐ）非授权的计算机访（fǎng）问；加强应用访问控（kòng）制，防（fáng）止非（fēi）授权（quán）访问系统（tǒng）中的信息；通（tōng）过监控系统的访问（wèn）与使用，监测（cè）非授权行为；在移动式计算和电传（chuán）工作方面 , 确保使用移动式（shì）计算和电传工作设施的信息安全； 

· 系统开发与维护：明确（què）系统（tǒng）安全要（yào）求，确（què）保安全性已（yǐ）构成信息（xī）系统的一部份；加（jiā）强应用系统的安全，防止应用系统用（yòng）户数据的丢失、被（bèi）修改或（huò）误用；加强密码技术控制，保护信息的（de）保密性、可靠性或完（wán）整性；加强系统（tǒng）文件的安（ān）全（quán），确保 IT 方案及其支（zhī）持活动以安全的（de）方式进行；加强开（kāi）发和支持（chí）过程（chéng）的安全，确保应用（yòng）系统软件和信息（xī）的安全； 

· 商（shāng）务连续性管（guǎn）理（lǐ）：防止商务活动的中（zhōng）断（duàn）及保护关键（jiàn）商务过（guò）程不受重大失（shī）误或灾难事故（gù）的影响； 

· 符合：符合法律法规要求，避免刑（xíng）法、民法、有（yǒu）关法令（lìng）法（fǎ）规或合（hé）同约定事宜及其他安全（quán）要求的规（guī）定相抵触；加（jiā）强安全方针和技术符（fú）合性评审，确保体系按照组织的安（ān）全方针及标（biāo）准执行；系统审核考虑因素，使效果较大化 , 并使系统审核过程的影响较小化。 　 

在国（guó）际（jì）标准 ISO/IEC17799 给出了为实（shí）现（xiàn）信息安全认证所需（xū）的各项措（cuò）施的详（xiáng）细指导（dǎo），具有很强的可操作（zuò）性和指导性。

归根结底，信息（xī）安（ān）全工作的目的就是在法律、法规、政策的支持与指导（dǎo）下，通过采用合适的安全技术与安全（quán）管（guǎn）理措施（shī），提供安（ān）全需求的保（bǎo）证，而 BS7799 信息安全认证标准正是总和（hé）了（le）这（zhè）些要求（qiú）。组织可以（yǐ）根据自身特点，在 ISO/IEC 17799 指导下，实现信息（xī）安全的要求。

 ISO27001：2005 《信息（xī）安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系要求》是关于信息安全管理的（de）标准，是标（biāo）准不是方法，达到这些（xiē）标准的（de）要（yào）求并不难，重要的是用什么方法（fǎ）去实现。企业应将（jiāng）实施标准作（zuò）为改善内部（bù）管理的一次机会，不（bú）应该将标准做为（wéi）一种简（jiǎn）单的模（mó）式对（duì）现有（yǒu）流程运作（zuò）进行套用（yòng），应对现（xiàn）有的组织运作流程进行详（xiáng）细分析，有针对（duì）性地设（shè）计并改善现有管理体系（xì）、改善薄弱环节、改（gǎi）善（shàn）运作流程及内部沟（gōu）通，并有效（xiào）地将（jiāng）先进的管理思（sī）想融合到具体的实施程序中，才（cái）能发（fā）挥标准（zhǔn）的真正（zhèng）作（zuò）用。

获得认证证书（shū）不是较终目的，建立有（yǒu）责（zé）、有（yǒu）序、有效的信息安全管理体（tǐ）系，提高员工的信息安全意识，不断获取并运用先进的（de）管理方法和技术手段（duàn）才能使企业的（de）信息安全管理（lǐ）水平得（dé）以持续（xù）的发展和提升（shēng）。