信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和（hé）可（kě）用（yòng）性 (Availability) 的保持。

•  保密性：为保障（zhàng）信息仅仅为那些被授（shòu）权使用的人获取。

 信息（xī）的保密性是针对信息被允许访（fǎng）问（ Access ）对（duì）象（xiàng）的多少而不（bú）同（tóng），所有（yǒu）人员都可以（yǐ）访（fǎng）问的信息为公开信息，需要限制（zhì）访问（wèn）的信息一般为敏感信息（xī）或（huò）秘（mì）密，秘密可（kě）以（yǐ）根据信息的重要性及（jí）保密要求分为不（bú）同的密级，例如国家根据（jù）秘密泄（xiè）露对（duì）国家经（jīng）济、安全利益（yì）产生的影响（后果）不同，将国家秘密分为秘密、机密和绝密三个等级，组（zǔ）织可根据其信（xìn）息安全的实际，在符合《国家保密法》的前（qián）提下将（jiāng）其信息划分为不（bú）同（tóng）的密级；对于具体的信息的保密性有时效性，如秘密到期解密（mì）等。

 •  完整性：为保护（hù）信息（xī）及其处理方法的准确性和完（wán）整性。

信息（xī）完（wán）整性一方面是指信（xìn）息（xī）在利用、传输、贮存等过程中不被篡改、丢失、缺（quē）损等，另一方面是指信息处理的方法的正确性（xìng）。不（bú）正当的操作，如误删除文件（jiàn），有可能造成（chéng）重（chóng）要文件的（de）丢失。

 •  可用性：为（wéi）保（bǎo）障（zhàng）授权使用人在需要（yào）时可以获取信息和使用相关的资产。

信息的可用性是（shì）指信息及（jí）相关的信息资（zī）产在授权人需要（yào）的时候，可以（yǐ）立即（jí）获得。例如通信线路中断故障会造成信息的在一段时间（jiān）内不可用，影响（xiǎng）正（zhèng）常（cháng）的商业运作，这是信息可用性的破坏。不同类型的信息及相应资产的信息安全在（zài）保密性、完整性及可用性（xìng）方（fāng）面关注点（diǎn）不同，如（rú）组织的专有技（jì）术、市（shì）场（chǎng）营销（xiāo）计划等（děng）商业秘密对组织来讲保守机密（mì）尤其重（chóng）要；而对于工业自动控制系统，控制（zhì）信息的完（wán）整性相对其（qí）保密（mì）性重要得多。

为什么需要信息（xī）安（ān）全？

信息、信息处理过程及对（duì）信息起支持作用的信息系统和（hé）信息（xī）网（wǎng）络都是重要的商务资产。信息的保密性、完整（zhěng）性和可（kě）用性对保持（chí）竞（jìng）争优势、资金（jīn）流动、效益、法律（lǜ）符（fú）合性和商业形象都是至关重要的。然（rán）而，越（yuè）来越多的组织及其信息系统和网络面临着包括计算机诈（zhà）骗、间谍、蓄（xù）意破坏、火灾、水灾等（děng）大范围（wéi）的安全威胁，诸如计算机病毒、计算机入侵（qīn）、 Dos 攻击等手段造成（chéng）的信息灾难已变得（dé）更加普（pǔ）遍 , 有计划而不（bú）易被察觉。组织对信息系统和信息服务的依赖意（yì）味着更易受到（dào）安全（quán）威（wēi）胁的（de）破坏，公共和私人网络的互连及信息资源（yuán）的共享增大了实现访问控制的难度。许多信息系（xì）统本（běn）身就不是按照安（ān）全系统的要求来（lái）设计的，所以仅（jǐn）依（yī）靠技（jì）术手段来实现（xiàn）信息安全有其局限性，所以信息安全的实现（xiàn）须得到管理和程序（xù）控（kòng）制的适当支（zhī）持。确定应采取（qǔ）哪些控制方式则（zé）需要（yào）周密计（jì）划，并注意细节。信息安全管理（lǐ）至少需（xū）要（yào）组织中（zhōng）的所有雇员的参与，此（cǐ）外（wài）还需要供应商（shāng）、顾客或股东的参（cān）与和信息安全的（de）专家建议。在信息系统设计阶段就将（jiāng）安全要求和控制一（yī）体化考虑（lǜ），则成本会（huì）更低、效率会更高。

 BS7799的信息（xī）管理过（guò）程：

①确定信（xìn）息安全管理方针（zhēn）。

②确定 ISMS( 信息安全管理体系) 的范围（wéi）

③进行（háng）风险（xiǎn）分析。

④选（xuǎn）择控制目（mù）标并进行控制（zhì）。

⑤建立业务持续计（jì）划。

⑥建立并实施安全（quán）管（guǎn）理体系（xì）。

 建立信息（xī）安全管理（lǐ）体系的作用：

 任（rèn）何组织，不（bú）论它（tā）在（zài）信息技术方面如何努力以及（jí）采（cǎi）纳如（rú）何新的信息安（ān）全（quán）技术，实际上在信息安全管理方面（miàn）都还存在（zài）漏洞，例如：

· 缺少信息安（ān）全管理论坛，安全导向不明确，管（guǎn）理支持不明（míng）显； 

· 缺（quē）少跨（kuà）部门的信息（xī）安全协调机制； 

· 保（bǎo）护特定资产以及完成特定安全过程的职责还不明（míng）确； 

· 雇员信息安（ān）全意识薄弱，缺少防范意识，外来人员很容易（yì）直（zhí）接进（jìn）入生产和工作场所； 

· 组织信息系（xì）统管理制（zhì）度（dù）不够健全； 

· 组织信（xìn）息系统主机房安全存在隐患，如：防火设（shè）施存在问题，与（yǔ）危（wēi）险品仓（cāng）库同处（chù）一幢（zhuàng）办（bàn）公楼等； 

· 组（zǔ）织信息系统备份设备仍有欠（qiàn）缺； 

· 组织信息系统安全（quán）防范技（jì）术投入欠缺； 

· 软（ruǎn）件知识（shí）产权保护欠缺； 

· 计算机房、办公场所等物（wù）理防范（fàn）措施欠缺； 

· 档案、记录等（děng）缺（quē）少可靠贮存场所； 

· 缺少（shǎo）一旦（dàn）发生意外时的保证生产经营（yíng）连续性（xìng）的措施和计划； 

        ……等等。

为什么要建（jiàn）立（lì）和（hé）实施ISO27001信息安（ān）全管理体（tǐ）系认证（2）

其（qí）实，组织可以（yǐ）参照信息安全管理模型，按照先进的信息（xī）安（ān）全管（guǎn）理标准 BS7799 标（biāo）准建立组织完整的信息（xī）安全管理体系（xì）并实施与保持，达到（dào）动态（tài）的、系统的（de）、全员（yuán）参（cān）与、制度化的、以（yǐ）预防为主的信（xìn）息安全管理（lǐ）方式，用（yòng）较低的成本，达到可（kě）接受的信（xìn）息安（ān）全（quán）水平（píng），就可以（yǐ）从根本上保证业务的连（lián）续性。组织（zhī）建立、实施与（yǔ）保（bǎo）持（chí）信息（xī）安（ān）全管理体系将（jiāng）会产生如（rú）下作用：

· 强化员工的信（xìn）息安全意（yì）识，规范（fàn）组织信息（xī）安全行为（wéi）； 

· 对组织的关键信息资产（chǎn）进行（háng）全面系统的保护，维持（chí）竞争优势； 

· 在信息系（xì）统受到（dào）侵袭时，确保业（yè）务持续开展（zhǎn）并将损失降到较低程度； 

· 使组织的生意伙伴和客户对组织充满信心； 

· 如果通过（guò）体系认证，表明体系符合标准，证明组织（zhī）有能（néng）力保（bǎo）障重（chóng）要信息，提高组（zǔ）织的名度（dù）与信任度； 

· 促使管理层（céng）坚持贯彻信息安全保障体系。 

BS7799标准概述：

· 1995 年，英国贸工部根据英（yīng）国国内企业对信息安全日益高涨（zhǎng）的呼声，组织大企业的信（xìn）息安（ān）全经（jīng）理们，制定了世界上第一个（gè）信息安全管理体系标准 BS7799-1 ： 1995 《信息安全管理实（shí）施规则》，作为（wéi）工商业和大、中、小型组织（zhī）实施信息安全（quán）管理的指南。由于该标（biāo）准采用建议和指导方式编写，因而不（bú）宜作为认证标准使用。 

· 1998 年，为了适应第三方认证的（de）需要，英国（guó）又制定了第一个信息安全管理体系认证标准 --BS7799-2 ： 1998 《信息安全管（guǎn）理（lǐ）体系规范》，作为对（duì）一个组（zǔ）织的全部（bù）或部分（fèn）信息（xī）安（ān）全管理体（tǐ）系进行（háng）评审认证（zhèng）的依据标准（zhǔn）。 

· 1999 年，鉴于计算机和（hé）信息处理技术（shù），尤其（qí）是网络和通信领域应用（yòng）的迅速发展，英国又对信（xìn）息安全（quán）管理体系标（biāo）准进行了修（xiū）订。修订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调（diào）了组织（zhī）在商务工作中所涉及的信（xìn）息安全和信息（xī）安全责（zé）任（rèn）。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一（yī）对配套标准， BS7799-1 ： 1999 为如何建立（lì）和实施符合（hé） BS7799-2 ： 1999 标准要求的信息安全管理体系提供（gòng）了较佳的应用建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式（shì）采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息（xī）技术—信息安全管理实施规（guī）则》，另（lìng）外， BS7799-2 ： 1999 也即将于 2002 年底（dǐ）被 ISO/IEC 作为蓝本修订后（hòu）成为可（kě）用于认证的 ISO/IEC 的《信息安（ān）全（quán）管（guǎn）理（lǐ）体系规范（fàn）》。 

信息安全认（rèn）证（zhèng）是实现信息安全目标（biāo）的（de）较佳途（tú）径：

BS7799-2：2002信息安全管理体系规范（fàn）向组织提出了一（yī）系列认证的（de）要求，在总则中提出组织（zhī）应建立并保持一个文（wén）件化的信息安全管理体系，阐述被保护的资产、组织（zhī）风险管理的渠（qú）道、控（kòng）制目（mù）标及（jí）控制方式和需（xū）要（yào）的（de）保证等级；通（tōng）过建立管理（lǐ）架（jià）构并加以（yǐ）实施来达到识别控制目标和（hé）控制方式，并形成（chéng）文件和（hé）记（jì）录。

BS7799-2：2002的控制细则（zé）包括10个方（fāng）面： 　

· 安全方针（zhēn）：为信息安全提供（gòng）管理指导和支持（chí）； 

· 组织安（ān）全：建（jiàn）立信息（xī）安全架构，保证组（zǔ）织的内部（bù）管理；被（bèi）第三（sān）方访问或外协时，保障组织的（de）信（xìn）息安全； 

· 资产（chǎn）的归类与控制（zhì）：明确资产责（zé）任，保（bǎo）持对组（zǔ）织资产（chǎn）的适（shì）当保护；将信息进行归类，确保信息资产受到（dào）适（shì）当程度的保护； 

· 人员安全：在工作说明和资源方面，减（jiǎn）少因人为错误（wù）、盗窃（qiè）、欺诈和（hé）设施（shī）误用造成的风险（xiǎn）；加（jiā）强用户培训（xùn），确保用户（hù）清楚知道信息安全的（de）危险性和相关事项，以便在他们的日常工作中支（zhī）持组织的安全方针；制定安全事故或故障的反应程序，减少（shǎo）由安全（quán）事（shì）故和（hé）故障（zhàng）造（zào）成（chéng）的损失，监控安全（quán）事件并从这种事件中吸取教（jiāo）训； 

· 实物与（yǔ）环境安全：确定安全区域，防止非授权访（fǎng）问、破坏、干扰商务（wù）场所和信息；通过（guò）保障（zhàng）设备安全，防止资产的丢（diū）失、破（pò）坏、资（zī）产危害及（jí）商务活动的中断（duàn）；采用通（tōng）用的控制方式，防止信息或信息处理设施损（sǔn）坏或失窃； 

· 通信和操作方式管理：明确操作程序及其责任，确保信息处理设施的正确、安全操（cāo）作；加强（qiáng）系统策划与验收（shōu），减（jiǎn）少系统失效风（fēng）险；防范恶意软件以保持软（ruǎn）件和（hé）信息的（de）完整性；加强内务管理以保持信（xìn）息处理和通讯服务的完（wán）整性（xìng）和（hé）有（yǒu）效性通过 ; 加强网络管理确（què）保网络中的信息安（ān）全及其辅（fǔ）助设施受到保护；通过保护（hù）媒体处理的安（ān）全 , 防止资产损坏和（hé）商务（wù）活动的中断；加强信息和软件的交（jiāo）换的管理，防止组织间在交（jiāo）换（huàn）信息时发生（shēng）丢失、更改和误用； 

· 访问控制：按照访问控制的（de）商务要求，控制（zhì）信息访问；加（jiā）强用户访问（wèn）管（guǎn）理，防（fáng）止非授（shòu）权访问（wèn）信息系统；明确用户（hù）职（zhí）责，防止（zhǐ）非授权（quán）的用（yòng）户访（fǎng）问；加强网（wǎng）络访问控制，保护网络服务程序；加强操作系统访问控制 , 防止非（fēi）授（shòu）权的计算机访问；加（jiā）强应（yīng）用访问控制，防止非授权访问系统中的信（xìn）息；通过监控系统（tǒng）的（de）访（fǎng）问与使（shǐ）用，监（jiān）测（cè）非（fēi）授权行为；在移动式计算和电传（chuán）工（gōng）作方面 , 确（què）保使用移动式计算和电传工作（zuò）设施（shī）的信（xìn）息安全； 

· 系（xì）统开发与维护：明确（què）系统安全要求，确保安全性（xìng）已构成信息系统的一部份；加强（qiáng）应用系统的安全，防（fáng）止应用系统（tǒng）用（yòng）户（hù）数据（jù）的丢失、被修（xiū）改或误（wù）用；加强密（mì）码（mǎ）技术控（kòng）制，保护（hù）信息的保密性、可靠性或完整性；加强系统文（wén）件的（de）安全，确保 IT 方案（àn）及其支（zhī）持活动以安全的方（fāng）式进行（háng）；加（jiā）强开发（fā）和支持过程的安全，确保应（yīng）用系统软件和信息的（de）安全（quán）； 

· 商务连续性管（guǎn）理：防止商务活（huó）动的（de）中断及保护（hù）关键商务过程不受重大失误或灾难事故的影响； 

· 符合（hé）：符合（hé）法律法规要求，避免刑法、民法、有关法（fǎ）令法规或合同约定事（shì）宜及其他安全（quán）要求的规定（dìng）相抵触；加强安全方针和（hé）技术符合性（xìng）评审（shěn），确保体系按照组织的安全方针及标（biāo）准执行；系统审核考虑（lǜ）因（yīn）素，使效果较大化 , 并使系统审核过程的（de）影响较（jiào）小化。 　 

在国际标准 ISO/IEC17799 给（gěi）出（chū）了为实（shí）现信息安全认（rèn）证（zhèng）所需的（de）各项（xiàng）措施的详细指导，具有很强的可操作性（xìng）和（hé）指导性。

归根结（jié）底（dǐ），信息安全工（gōng）作的目（mù）的就是在法律、法规、政策的支持与指导下，通过采（cǎi）用合适的安全技（jì）术与安全管理措施，提供安全（quán）需求的保（bǎo）证，而 BS7799 信息安（ān）全认证标（biāo）准正是（shì）总和了（le）这（zhè）些（xiē）要求。组织可以根据自身特（tè）点，在 ISO/IEC 17799 指导下，实现信息安全（quán）的要（yào）求。

 ISO27001：2005 《信息安全管理（lǐ）体系要求》

 ISO27001 ： 2005 《信息（xī）安全管理体（tǐ）系要求（qiú）》是关于信息安全管理（lǐ）的标准（zhǔn），是标准不是方法（fǎ），达到这些标准的要（yào）求并不（bú）难，重要的是用什么（me）方法去实现。企业应将实施标准作为改（gǎi）善内部管理的一次机会，不应该将标（biāo）准做为（wéi）一种简单的模（mó）式对现有流程运作（zuò）进（jìn）行套用，应（yīng）对现有的（de）组织运作流（liú）程（chéng）进行详（xiáng）细分析，有针对性地设计并改善现有管理体系、改（gǎi）善薄（báo）弱环（huán）节、改（gǎi）善运作流（liú）程及内（nèi）部沟通，并有效（xiào）地将先（xiān）进的（de）管理思想融（róng）合到（dào）具体的实施程序中，才能（néng）发挥标准的真正（zhèng）作用。

获得认证证（zhèng）书不是较终目（mù）的，建立有责（zé）、有序、有效的信息安全管理（lǐ）体（tǐ）系，提高员工的信息安全意识，不（bú）断获取并运用先（xiān）进的（de）管理（lǐ）方法和技（jì）术手段才能使（shǐ）企业的（de）信息安（ān）全管（guǎn）理水平得以（yǐ）持续的发展（zhǎn）和提升。