信（xìn）息安（ān）全 (Information security): 是指信（xìn）息（xī）的保（bǎo）密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为（wéi）保障信息仅仅为那些（xiē）被授权（quán）使用的（de）人获取。

 信息的保（bǎo）密性是针对信息（xī）被允（yǔn）许（xǔ）访问（ Access ）对象的多少而不同，所有（yǒu）人员都可以访问的信息为公开信息，需要限制访问的信息（xī）一（yī）般为敏感（gǎn）信息或秘密，秘密可以根据（jù）信息的（de）重要（yào）性及保密要求分为不同的密级，例如国（guó）家根据（jù）秘密（mì）泄露对国（guó）家经济、安（ān）全利益产生的影响（后果）不同，将（jiāng）国家秘密分为秘密（mì）、机密（mì）和（hé）绝密三个等级（jí），组织可根据其信（xìn）息安全的实（shí）际，在符合《国（guó）家（jiā）保密（mì）法（fǎ）》的前提下将其信息划分为不同的密级；对于具体的信息（xī）的保（bǎo）密性（xìng）有（yǒu）时效（xiào）性，如秘密（mì）到期解密等。

 •  完整性：为保护信息及其（qí）处理方法（fǎ）的准确性和完整性。

信（xìn）息完整性一方面是指（zhǐ）信息（xī）在利用（yòng）、传输（shū）、贮存等过（guò）程中不被篡改（gǎi）、丢（diū）失、缺损（sǔn）等，另（lìng）一方面是指信息处（chù）理的方法的正确（què）性。不（bú）正（zhèng）当的操作，如误（wù）删除文件，有可能造成重（chóng）要文（wén）件（jiàn）的（de）丢失。

 •  可用性：为保障授权使（shǐ）用人在需要时可以（yǐ）获取信息和使用相关的资产。

信息（xī）的可用性是指信息及相关（guān）的信（xìn）息资产在授权人需要的时候，可以立即获（huò）得。例如通信线路中（zhōng）断（duàn）故（gù）障会造成信息的在一段（duàn）时（shí）间内不可用，影响正常（cháng）的商业运作，这是信息（xī）可用性的破坏。不同类型的（de）信息（xī）及相应资（zī）产（chǎn）的信息安全在保密（mì）性、完整性及可（kě）用性（xìng）方（fāng）面关注点不同（tóng），如组织的专有技术、市场（chǎng）营销计划等商业秘（mì）密对组织来讲（jiǎng）保守（shǒu）机密尤其重要；而对（duì）于工业自动控制（zhì）系（xì）统，控制信息的完整性相对其保密性重要得多（duō）。

为什么需要（yào）信息安（ān）全？

信息、信息处理过程及对信（xìn）息起支持作（zuò）用的信息系（xì）统和信（xìn）息网络都是重要（yào）的商务资产。信息（xī）的保密性、完整性和可用性对（duì）保持（chí）竞争优势、资金（jīn）流动（dòng）、效益、法律符合性和商（shāng）业形象都是至关重要的。然而（ér），越来（lái）越多的组织及其信息系统和网络面临着包括计算机诈（zhà）骗、间（jiān）谍、蓄意（yì）破（pò）坏、火灾、水灾等大范围的安全（quán）威胁，诸如计算机病毒、计算机入侵、 Dos 攻击等（děng）手段造成（chéng）的信息灾难已变得更加（jiā）普遍（biàn） , 有计（jì）划而不易被察觉。组织对信息系统（tǒng）和信息服务的依（yī）赖意味着更易受到安全威胁的破（pò）坏（huài），公共和私人网络的互连（lián）及信息资源的共享增（zēng）大（dà）了（le）实现访问控制的难度。许多信息系统本身就不（bú）是按照安全系统的要（yào）求（qiú）来（lái）设计（jì）的，所以仅依靠技术手段来实现（xiàn）信息安全有其局限性，所以信息安全的实现须（xū）得到（dào）管理和程序控制（zhì）的适当支（zhī）持。确定应采取哪些控制方（fāng）式则需要（yào）周（zhōu）密计（jì）划，并注意细（xì）节。信息安全管理至少需要组织（zhī）中的所有（yǒu）雇员的参与（yǔ），此外还需要供应商、顾客或股东（dōng）的参与和信息安全的专家建议。在（zài）信息系（xì）统设计阶段就将（jiāng）安全（quán）要求（qiú）和控制一（yī）体化考（kǎo）虑，则成（chéng）本会（huì）更（gèng）低、效率会更高。

 BS7799的信息管理（lǐ）过（guò）程（chéng）：

①确定信息安全管理方针。

②确定 ISMS( 信息安全管理体系（xì）) 的范围

③进行风（fēng）险分析（xī）。

④选（xuǎn）择控制目（mù）标并（bìng）进行控制。

⑤建立业务持续计划。

⑥建立并实施安全管理体系。

 建立信息安全管理体系的作用：

 任（rèn）何组织，不论它在信息技术方面如何努力以及采纳如何新的信息安（ān）全技术，实际（jì）上在信息安（ān）全管理方（fāng）面都还存在漏（lòu）洞，例如：

· 缺少信息安全（quán）管理论坛，安全导向不明确，管理支（zhī）持（chí）不明显； 

· 缺少跨（kuà）部门（mén）的信息安全协调机制（zhì）； 

· 保护特（tè）定资产以及完（wán）成特（tè）定（dìng）安全过程的（de）职责还不（bú）明确； 

· 雇（gù）员信息（xī）安全意识薄弱，缺少防范意识，外来人员很容易直（zhí）接（jiē）进入生产和工作（zuò）场所； 

· 组织信息系统管理制度不（bú）够健（jiàn）全（quán）； 

· 组织信息系统主机房安（ān）全存在隐患，如（rú）：防火设施（shī）存在问题，与危险品仓库同处一幢（zhuàng）办公楼等（děng）； 

· 组织信息系统备份设备仍有欠缺； 

· 组织信息系统安全防范（fàn）技术投入欠缺； 

· 软件知（zhī）识（shí）产（chǎn）权（quán）保护欠缺； 

· 计算机房（fáng）、办公场所等物（wù）理（lǐ）防范措施欠缺； 

· 档案（àn）、记录（lù）等缺少可靠贮存场（chǎng）所； 

· 缺少一旦发生意外（wài）时的保证生产经营连续性的措施（shī）和计划（huá）； 

        ……等等。

为什么要建立和实施ISO27001信息安（ān）全管理体系认（rèn）证（2）

其（qí）实，组织可以参（cān）照信（xìn）息安（ān）全管理（lǐ）模型，按照先进的信息安（ān）全管理标（biāo）准 BS7799 标准建立（lì）组织完（wán）整的信息安全管理体系（xì）并（bìng）实施（shī）与保持，达到动（dòng）态的、系统的、全员参与、制度化的、以预防为主（zhǔ）的信息安全（quán）管理方式，用较低的成本，达到可接受的信息安（ān）全水平，就可以从根本上保证业务的连续性（xìng）。组织建立、实施与保持信息安（ān）全管理体系将会产生如（rú）下作用：

· 强化员工（gōng）的信息安全意识（shí），规范组织信息（xī）安全行为； 

· 对组织的关键信息（xī）资产进行全面系统的保护（hù），维持竞争优势； 

· 在信（xìn）息系统受（shòu）到侵袭时，确保业务持续开展并（bìng）将损失（shī）降到较低程度； 

· 使组织的生意伙伴和客户对组织（zhī）充满（mǎn）信心； 

· 如果通过体（tǐ）系认证，表明体系符合标准，证明组织有能力保障重要信（xìn）息，提高组织（zhī）的名度（dù）与信任度（dù）； 

· 促使管理（lǐ）层坚（jiān）持贯彻信息安（ān）全保（bǎo）障（zhàng）体（tǐ）系。 

BS7799标准（zhǔn）概述（shù）：

· 1995 年，英国（guó）贸工部根据英国国内企（qǐ）业（yè）对信（xìn）息安（ān）全日益高涨的呼声，组织大企业的信息安全经（jīng）理们，制定（dìng）了世界（jiè）上（shàng）第一个信息安全管（guǎn）理体系标准 BS7799-1 ： 1995 《信息安全管理实施（shī）规则（zé）》，作为工（gōng）商（shāng）业（yè）和大、中、小型组织实（shí）施信息安全管理的指南（nán）。由于该标准采用建议和（hé）指（zhǐ）导（dǎo）方式编（biān）写，因而不（bú）宜作为认证标准使用。 

· 1998 年，为了适应第三方认（rèn）证的（de）需要，英国又制定了第（dì）一个信息安全管（guǎn）理体（tǐ）系认证标（biāo）准 --BS7799-2 ： 1998 《信息安全管理体系（xì）规（guī）范》，作（zuò）为对一个（gè）组织的（de）全部或部分信息安全管理体系进行（háng）评审认证的依据标准。 

· 1999 年，鉴（jiàn）于（yú）计算机和（hé）信（xìn）息处理（lǐ）技（jì）术，尤其是网（wǎng）络（luò）和通（tōng）信领（lǐng）域应用的迅速（sù）发展，英国又对信息安全管理体（tǐ）系（xì）标准（zhǔn）进行了修订。修（xiū）订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取（qǔ）代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标（biāo）准进一步强调了组织在商务工作中（zhōng）所涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一对（duì）配套标准， BS7799-1 ： 1999 为如何建（jiàn）立和实（shí）施符合 BS7799-2 ： 1999 标准要（yào）求的信息安全（quán）管理体（tǐ）系提供了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已（yǐ）经被（bèi） ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息（xī）技术—信息（xī）安全管理实施规（guī）则》，另外， BS7799-2 ： 1999 也（yě）即将于 2002 年底被 ISO/IEC 作为蓝本修订（dìng）后成为可用于认（rèn）证（zhèng）的 ISO/IEC 的（de）《信息安全管理体系规范》。 

信息安全认证是实现信息（xī）安（ān）全目标的较佳途径：

BS7799-2：2002信（xìn）息安全管理体（tǐ）系（xì）规范向组织提（tí）出了（le）一系列认证的要求，在总（zǒng）则中提出组织应建立并保持一个文（wén）件（jiàn）化的信息安全管（guǎn）理体系，阐（chǎn）述被保护（hù）的资产、组织（zhī）风（fēng）险（xiǎn）管理的渠道、控（kòng）制目标及控制方式和需要的（de）保证等（děng）级；通过建立管理架构并加（jiā）以实施来达到识别控制目标和控（kòng）制方式，并（bìng）形（xíng）成文件和记录。

BS7799-2：2002的控制细则包（bāo）括10个方面： 　

· 安全（quán）方针（zhēn）：为信息安全提（tí）供管（guǎn）理指导和支持； 

· 组织（zhī）安全：建立信息安全（quán）架构，保证组织的内部（bù）管（guǎn）理；被第三方访问（wèn）或外（wài）协时（shí），保障组（zǔ）织的信息安（ān）全； 

· 资（zī）产（chǎn）的归类与（yǔ）控（kòng）制：明确（què）资产责任，保（bǎo）持对（duì）组织资产的适当保护；将信息进行归（guī）类，确保（bǎo）信息资（zī）产受到（dào）适当程度（dù）的保护； 

· 人员安（ān）全：在工（gōng）作说明和资源方面，减（jiǎn）少因人为（wéi）错误（wù）、盗窃、欺诈和设（shè）施误用造成的风险（xiǎn）；加强（qiáng）用户（hù）培训，确（què）保用户清楚知道信息安全的危险性和相关事（shì）项，以便在他们的日常工（gōng）作中支持组织的安全方针；制定安全事（shì）故（gù）或故（gù）障的反应（yīng）程（chéng）序，减少由安全事故（gù）和故障造成的损失，监控安（ān）全事件并从这种事件中吸（xī）取教训； 

· 实物与环境安全：确定安全区域（yù），防止（zhǐ）非（fēi）授权访问、破坏、干扰商务场所和信息；通过保障设备安全，防止资产（chǎn）的丢失、破坏、资产危害及（jí）商务活（huó）动的中断；采用通用的（de）控（kòng）制（zhì）方式，防止（zhǐ）信息（xī）或信（xìn）息（xī）处理设施损坏或失窃； 

· 通信（xìn）和（hé）操作方（fāng）式管（guǎn）理：明确操作程序及其（qí）责任，确保信息（xī）处理设施的正（zhèng）确、安全操作；加强系统策划与验收，减少系统失效风险；防范恶（è）意软件（jiàn）以（yǐ）保持软件和信息的完整性；加（jiā）强内务管理以（yǐ）保持信息（xī）处（chù）理（lǐ）和通讯服（fú）务的完整性（xìng）和有效（xiào）性通过 ; 加（jiā）强（qiáng）网络管理（lǐ）确保（bǎo）网（wǎng）络中的信（xìn）息安全（quán）及其辅（fǔ）助设施受到保护；通（tōng）过保护媒体处理（lǐ）的安（ān）全 , 防止资产损坏和商务活动的中断；加强（qiáng）信息和软件的交换的管理，防止组织间在交换信息时发生丢失、更（gèng）改和（hé）误用； 

· 访问控（kòng）制：按照访问控（kòng）制的商务要（yào）求，控制信息访问；加强用户访（fǎng）问管理，防止非授权访问信息系统；明确用户职（zhí）责（zé），防止非授权的用户访问（wèn）；加强（qiáng）网络访（fǎng）问控制，保护网络服务程序；加强操作系统访问控制 , 防止非授权的计算（suàn）机访问；加（jiā）强应用访问控制，防（fáng）止（zhǐ）非授权访问系（xì）统中的信息；通过（guò）监（jiān）控（kòng）系统的（de）访问与使用，监（jiān）测非授权行为；在移动（dòng）式计算和电传工作方面 , 确保使（shǐ）用（yòng）移动式计算和电传工（gōng）作设（shè）施的信息安全； 

· 系统开发与维护：明确系统安全（quán）要求（qiú），确保安全（quán）性已构成信息系（xì）统的一部份；加强应用系统的安全，防止应用系统（tǒng）用户（hù）数据（jù）的丢失、被修（xiū）改（gǎi）或误（wù）用；加强密码技术（shù）控（kòng）制，保护信息的保密性、可靠性或完整性；加（jiā）强系统文件的安全，确保 IT 方案及其支持活（huó）动以安全的方式进行；加强开（kāi）发和支持过程（chéng）的安全（quán），确保（bǎo）应用系统软（ruǎn）件和信息的（de）安全； 

· 商（shāng）务连续性管理（lǐ）：防止商务活（huó）动的（de）中断及保护关键商（shāng）务过程不受重大失误或灾难事故的影响； 

· 符合：符合法律法规要求，避免刑法、民法、有（yǒu）关法令（lìng）法规或合同（tóng）约（yuē）定事（shì）宜（yí）及（jí）其他安全要（yào）求的规（guī）定相（xiàng）抵触；加强安全方针和技术符合性评审，确保体系按照组（zǔ）织的安全（quán）方（fāng）针及标准（zhǔn）执行；系统审核考虑因素（sù），使效果较（jiào）大化 , 并使系统审核过（guò）程的影响（xiǎng）较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信（xìn）息安全认证所需的各项措（cuò）施的详细指导，具有很强的可操作性和指导性。

归根结底（dǐ），信息安全工作的（de）目的就是在法律（lǜ）、法（fǎ）规、政策（cè）的支持与指导下，通过采用合适的安全技术（shù）与安（ān）全管理措施，提供安全需求的保证，而（ér） BS7799 信息安全认（rèn）证标准正是总和（hé）了（le）这些（xiē）要求。组织可以根（gēn）据自（zì）身特点，在 ISO/IEC 17799 指（zhǐ）导（dǎo）下，实现信息安（ān）全的要求。

 ISO27001：2005 《信息安全管理（lǐ）体系要求》

 ISO27001 ： 2005 《信息安全管理（lǐ）体系要求》是关于（yú）信（xìn）息安全（quán）管（guǎn）理的标准，是标准不是方法（fǎ），达到这些（xiē）标准的要求并不难（nán），重要的是用什么方法去实现。企业应将实施标准作为改（gǎi）善内部管理的一次（cì）机（jī）会，不应该（gāi）将标准做为一种简单的模式对现有流程运（yùn）作（zuò）进行套（tào）用，应对现（xiàn）有的组织运作流程进行详（xiáng）细分析，有针（zhēn）对性地设计并改善现有管理体系、改（gǎi）善薄弱环节、改善运作（zuò）流（liú）程及内部沟（gōu）通，并（bìng）有效地将先进的管理思想融合到具体的（de）实施程序中，才能发挥标准的（de）真正作用。

获得认证证书不是较终目的，建立有责（zé）、有序、有效的信息安全管理（lǐ）体系，提高员工（gōng）的信息安（ān）全意识，不（bú）断获取（qǔ）并运用先进的管理方法和技（jì）术手（shǒu）段才能使企业的信息安全管理水平得以持（chí）续的发展和提（tí）升。