信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的（de）保持。

•  保密性：为保障信（xìn）息仅（jǐn）仅为（wéi）那些被授权使用的（de）人（rén）获取。

 信息的保密性（xìng）是针对（duì）信（xìn）息被允许（xǔ）访问（ Access ）对象（xiàng）的多少（shǎo）而（ér）不同（tóng），所有人员都可（kě）以访问的信（xìn）息为公开信息（xī），需（xū）要限制（zhì）访问的信息一般为敏（mǐn）感（gǎn）信（xìn）息（xī）或秘密，秘（mì）密可以根据信息的重要性及（jí）保密要（yào）求分为不同（tóng）的密（mì）级，例如国家根（gēn）据（jù）秘密（mì）泄（xiè）露（lù）对国（guó）家经济、安全利益产生（shēng）的影响（xiǎng）（后果）不同，将国家秘（mì）密（mì）分为秘密（mì）、机密（mì）和绝密（mì）三个等（děng）级（jí），组织可根据其信息安全的实际，在符合《国家保密法》的前（qián）提下将（jiāng）其信息划分为不同（tóng）的密级；对于具体的信息的（de）保密性有时效性，如秘密到（dào）期（qī）解（jiě）密等。

 •  完整性：为保（bǎo）护信息及（jí）其（qí）处（chù）理方法的准确性和完整性。

信息完整性一（yī）方面是指信息在利用、传输、贮存等（děng）过程中不（bú）被（bèi）篡（cuàn）改、丢失、缺损（sǔn）等（děng），另（lìng）一方（fāng）面是指信（xìn）息处理的方法的（de）正确性。不正当的操作，如（rú）误删除文件，有可（kě）能造成重要文件的丢失。

 •  可用性：为保障授权（quán）使用人（rén）在需要时（shí）可以获取（qǔ）信（xìn）息和（hé）使用相关的资产（chǎn）。

信息的可用性是指信息及相关的信（xìn）息资产（chǎn）在授权（quán）人需要的时候，可以立（lì）即获得。例如通信线路（lù）中断故（gù）障（zhàng）会（huì）造（zào）成信息的在一段（duàn）时间内不可用，影响正常的商业运作，这是（shì）信息（xī）可（kě）用性的破坏（huài）。不同（tóng）类型的（de）信息及相应资产的信息安全在保密性、完整性及可（kě）用性方（fāng）面关（guān）注（zhù）点不同，如组织（zhī）的专有技术、市场（chǎng）营销计划（huá）等商业秘密对组织来讲保守机密尤（yóu）其重要；而对于工业自动控制系统，控（kòng）制信息（xī）的（de）完整（zhěng）性相（xiàng）对（duì）其（qí）保（bǎo）密性重要得多。

为（wéi）什么需（xū）要（yào）信息安全？

信息、信息处理过程及对信（xìn）息起支持（chí）作用（yòng）的信息系统和信（xìn）息网络都是重要的商务资产。信息（xī）的保密（mì）性（xìng）、完整性和可用性（xìng）对保持竞（jìng）争（zhēng）优（yōu）势、资（zī）金流动、效益、法（fǎ）律符合性和商业形象都是至关（guān）重要的。然而，越来越多的组（zǔ）织及（jí）其信（xìn）息系统和网络（luò）面（miàn）临着包括（kuò）计（jì）算机（jī）诈（zhà）骗（piàn）、间（jiān）谍（dié）、蓄（xù）意（yì）破坏、火灾、水灾等（děng）大范围的安（ān）全（quán）威胁，诸如计算（suàn）机病毒、计算机入（rù）侵、 Dos 攻击等手段造成的信息灾难（nán）已（yǐ）变得更加普遍 , 有计划而不易被察（chá）觉。组织对信（xìn）息系统和信息服务（wù）的依赖意味着更易受到（dào）安（ān）全威（wēi）胁的（de）破坏，公共和私人（rén）网络的互连及信息资源的共享增（zēng）大了实现访问控（kòng）制的难度。许多信息系统本身就不是按照（zhào）安全系统的要求来设计的，所以仅依靠技术手段来实（shí）现信（xìn）息（xī）安全有其局（jú）限性，所以信息安全的实现须得到（dào）管理（lǐ）和程（chéng）序控制的适当支持（chí）。确定应（yīng）采取哪些控制方式则（zé）需要（yào）周密计划，并注意细节。信息安全管理至（zhì）少需（xū）要组织中的所有雇员的参与，此外还需要供应商（shāng）、顾客或股（gǔ）东（dōng）的参与和（hé）信息安全（quán）的专家建议（yì）。在信息系统设（shè）计阶段就将安全要求和控制一体化考虑，则成本会更低、效率（lǜ）会更高（gāo）。

 BS7799的信（xìn）息管理过程：

①确定（dìng）信息安全管理（lǐ）方针（zhēn）。

②确定 ISMS( 信（xìn）息（xī）安全管理体系) 的范围

③进行（háng）风险分析。

④选择控制目标并（bìng）进（jìn）行（háng）控（kòng）制。

⑤建立业务持续（xù）计划。

⑥建立并实施安全管（guǎn）理体系。

 建立信息（xī）安全管理体系的作用：

 任何组织（zhī），不论它在信息技术（shù）方面（miàn）如何（hé）努（nǔ）力以及采纳如何新的信息安（ān）全技术，实际上在信息安全管理方面（miàn）都还（hái）存（cún）在漏（lòu）洞，例如：

· 缺少信息安全管理（lǐ）论坛，安全导向不明确，管理支持（chí）不明显； 

· 缺少（shǎo）跨部门的信息（xī）安（ān）全协调机制； 

· 保护特定（dìng）资（zī）产以及完成特定安全过（guò）程的职责还不明确； 

· 雇员（yuán）信息安（ān）全意识薄弱，缺少防范意识，外来人（rén）员很容易（yì）直接进入生产和工（gōng）作场所； 

· 组织信息（xī）系统（tǒng）管理制度不够健全； 

· 组织信息系统主（zhǔ）机（jī）房安全存在（zài）隐患，如：防火（huǒ）设（shè）施（shī）存在问题（tí），与危险品（pǐn）仓库同处一幢办公楼等； 

· 组（zǔ）织信息系统备份设备（bèi）仍有欠缺； 

· 组织信息系统安全防范技（jì）术投入欠缺（quē）； 

· 软件知识产权保护欠缺（quē）； 

· 计（jì）算机房、办公（gōng）场所（suǒ）等物理防（fáng）范措施欠缺； 

· 档（dàng）案、记录等（děng）缺少可靠贮存场（chǎng）所； 

· 缺少（shǎo）一（yī）旦发生意外时的保证生（shēng）产经营连续性的措（cuò）施和（hé）计（jì）划； 

        ……等等。

为什么要建立和实施ISO27001信息安全（quán）管理体系认（rèn）证（2）

其实，组织可以参照信息安全管理模型，按照先进的（de）信息安全管理标准（zhǔn） BS7799 标准建立组（zǔ）织完整的信息安（ān）全管理体系并实施与保（bǎo）持，达到动态的、系统的、全（quán）员参与、制度化的、以预防为主的信息安全管理方式，用较低的成本，达到（dào）可接受的信息安全水平，就可以（yǐ）从根本上保证业务的连续（xù）性。组织建立（lì）、实施与保持信（xìn）息安全管理（lǐ）体系将会产生如下（xià）作（zuò）用（yòng）：

· 强化员工的信息安全（quán）意识（shí），规（guī）范（fàn）组（zǔ）织信息安全行（háng）为； 

· 对组织的关（guān）键信息资产进行全面（miàn）系统的保护（hù），维持竞争优势（shì）； 

· 在信息系统受到侵袭时，确保业务持（chí）续（xù）开展（zhǎn）并（bìng）将（jiāng）损失降到（dào）较低程度（dù）； 

· 使组织的（de）生意伙伴和客户对组织充满信心； 

· 如果通过（guò）体系认证，表明体系符合标准，证（zhèng）明（míng）组织有（yǒu）能力保（bǎo）障重要信息（xī），提高组织的（de）名度与（yǔ）信（xìn）任（rèn）度； 

· 促使管理层坚持贯彻信（xìn）息安全保障体系。 

BS7799标准概述：

· 1995 年，英国贸工部根（gēn）据（jù）英（yīng）国国（guó）内（nèi）企业对信息安全日益高涨的呼声，组织大企业的信息安全经理们，制定了（le）世界上（shàng）第一（yī）个（gè）信息安全管理体系（xì）标准 BS7799-1 ： 1995 《信息安（ān）全管理实施（shī）规则》，作为（wéi）工商业和大、中、小型（xíng）组织实施信息安全（quán）管理的指南。由于该标准采用建（jiàn）议和（hé）指导方式编写，因（yīn）而不宜作为认（rèn）证标（biāo）准使用。 

· 1998 年，为了适应（yīng）第（dì）三方认（rèn）证的需要，英国又制（zhì）定了第一个信息安（ān）全管（guǎn）理体系认证标准 --BS7799-2 ： 1998 《信息安全（quán）管理体系规范》，作为对一个组织的全部或部（bù）分信息安全管理（lǐ）体系进行评审认证（zhèng）的依据标准。 

· 1999 年，鉴于计算机和信息处理技术，尤其是网络（luò）和通信领域应用的迅（xùn）速发展，英国又对（duì）信息安（ān）全（quán）管理体系标准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代（dài）了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调（diào）了组织在商务（wù）工作（zuò）中（zhōng）所涉（shè）及（jí）的信息（xī）安全和（hé）信息安全责（zé）任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一（yī）对配套标准， BS7799-1 ： 1999 为如（rú）何建立和实施符合 BS7799-2 ： 1999 标准要求的信（xìn）息安全管理体系提供了较（jiào）佳的应用建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施规（guī）则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本（běn）修订后（hòu）成（chéng）为可用于认证的 ISO/IEC 的《信息安全管理体系规范》。 

信息安全认证是（shì）实现（xiàn）信（xìn）息安全目标的较佳途（tú）径：

BS7799-2：2002信息（xī）安全管理体系规范向组织提出（chū）了一系列（liè）认（rèn）证的要求，在总则中提出（chū）组织应建立并保持一个文件化的信息安（ān）全管（guǎn）理体系，阐述（shù）被保（bǎo）护的资产、组织风险管理的（de）渠道、控制目标及控制方式和需要的保证等级；通（tōng）过（guò）建（jiàn）立（lì）管理架构并加以实施来达到识别控制目标（biāo）和控制方（fāng）式，并（bìng）形（xíng）成文（wén）件（jiàn）和记录。

BS7799-2：2002的（de）控制（zhì）细则包括10个（gè）方（fāng）面： 　

· 安全方针（zhēn）：为信息安全提（tí）供管理指导（dǎo）和（hé）支持； 

· 组织安全：建立信息（xī）安（ān）全架构，保证组织的内部管理；被第三（sān）方访（fǎng）问或外（wài）协时，保障组织的信息安全； 

· 资产的（de）归类与（yǔ）控制：明确（què）资产责任，保持对组织资产的适当（dāng）保护；将信息进行归（guī）类，确保信息资产受到适（shì）当（dāng）程度的保护； 

· 人（rén）员安全：在工（gōng）作说明和资源方面（miàn），减少因（yīn）人为错（cuò）误、盗窃（qiè）、欺诈和设施误用造（zào）成的风险（xiǎn）；加（jiā）强用户培训，确保用户清楚知道信（xìn）息安全（quán）的危险性和相关事项，以便在他（tā）们的日（rì）常工作中支持组织的安全方针；制定安全事故（gù）或故（gù）障的（de）反（fǎn）应程序（xù），减少由安全事故和故障造成的（de）损失，监控安全（quán）事件（jiàn）并从（cóng）这种事件中吸取教（jiāo）训； 

· 实物与环境安全：确定安全（quán）区域（yù），防止非授（shòu）权访问、破（pò）坏、干扰（rǎo）商务场（chǎng）所（suǒ）和信息；通过（guò）保障设（shè）备（bèi）安（ān）全（quán），防止资产的丢（diū）失、破坏、资（zī）产危害及商务（wù）活动（dòng）的中断（duàn）；采用通（tōng）用（yòng）的（de）控制方（fāng）式，防止信息或信（xìn）息处理设施（shī）损（sǔn）坏或失窃； 

· 通信和操（cāo）作方式管理：明（míng）确操作程序及其责任，确保信息（xī）处理（lǐ）设施的正确、安全操作；加强系统（tǒng）策划与验收，减少系统失效风险；防范恶（è）意（yì）软件（jiàn）以（yǐ）保持软件和信息的完整性；加强内务管理以保持（chí）信息处（chù）理和通讯（xùn）服务的完（wán）整性和有效性（xìng）通（tōng）过 ; 加强网络管理（lǐ）确（què）保网络中的信息安（ān）全及其辅助设施受（shòu）到（dào）保（bǎo）护（hù）；通过（guò）保护媒体处（chù）理的安全 , 防（fáng）止资产（chǎn）损（sǔn）坏和商（shāng）务活动的中断（duàn）；加强（qiáng）信息（xī）和软件的交换的管理，防止组（zǔ）织间在（zài）交换信息（xī）时发生丢失、更改和误用； 

· 访问（wèn）控制：按（àn）照访问控制（zhì）的商务要求，控制信息访（fǎng）问；加强用户访（fǎng）问管理，防止（zhǐ）非授权访（fǎng）问信息系（xì）统；明确用户（hù）职责（zé），防止非授权（quán）的用户访问；加（jiā）强（qiáng）网络访（fǎng）问控制，保护网（wǎng）络服务（wù）程序；加（jiā）强操作系统访问控（kòng）制 , 防止非授权的（de）计算机访问；加（jiā）强应用（yòng）访问控制（zhì），防止非授权访问系统中的（de）信息（xī）；通过监（jiān）控系统（tǒng）的访问（wèn）与使用，监测非授权行（háng）为；在移动式计算（suàn）和电（diàn）传工作方（fāng）面 , 确（què）保使用移动式（shì）计算（suàn）和电传工作设施的（de）信息（xī）安全； 

· 系统开发与维护：明（míng）确系统安全要求，确保安全性（xìng）已（yǐ）构成信息系统的一部份；加强应用系统的（de）安全，防止应用系统（tǒng）用户（hù）数据的丢失（shī）、被修改或（huò）误（wù）用；加强密码技术控制，保护（hù）信（xìn）息的保密性、可靠性或完（wán）整性；加强系统文件的安（ān）全，确（què）保 IT 方案及其支持活动以安全的方式进行；加强（qiáng）开（kāi）发和支（zhī）持过（guò）程的安全（quán），确保（bǎo）应用（yòng）系统软件（jiàn）和信息（xī）的安全（quán）； 

· 商务连续性管理：防止（zhǐ）商务活（huó）动的中断及（jí）保护（hù）关键商务过程不受重大失误（wù）或灾难（nán）事故的影响； 

· 符合（hé）：符合法律法规要求，避免（miǎn）刑法、民（mín）法、有关法（fǎ）令法规（guī）或合同约（yuē）定事宜及（jí）其他安全要（yào）求的规定相抵触；加强安（ān）全方针和技（jì）术（shù）符合性评审，确保体系按照组织（zhī）的安全方针及标（biāo）准执（zhí）行；系统审（shěn）核考（kǎo）虑因素，使效果（guǒ）较大化 , 并使系统审核过程的影响（xiǎng）较小化。 　 

在国际（jì）标准 ISO/IEC17799 给出了为实现信息安全认证所需的各项措施（shī）的详细指导，具有（yǒu）很强的可操作（zuò）性和指导性。

归根（gēn）结底，信息安全工作的（de）目的就（jiù）是（shì）在法律、法规、政（zhèng）策（cè）的支持与指导下，通（tōng）过采用合适的安全技术与安（ān）全管理措施，提供安全需求（qiú）的保证，而 BS7799 信息安全认证标准正是总（zǒng）和了（le）这些要求。组（zǔ）织可以根据自（zì）身特点，在 ISO/IEC 17799 指导下，实现信（xìn）息安（ān）全（quán）的要求。

 ISO27001：2005 《信息安全管理（lǐ）体系要求（qiú）》

 ISO27001 ： 2005 《信息安全管理（lǐ）体系要求》是（shì）关于（yú）信（xìn）息（xī）安全（quán）管理的标准（zhǔn），是标准不是方法，达到这些（xiē）标准的（de）要求并不难，重（chóng）要（yào）的是用（yòng）什（shí）么方法去实（shí）现。企业应将实（shí）施标准作为改善内部管理的一次机会，不应该将标准做为一种简单的模式对现（xiàn）有流（liú）程运作（zuò）进行（háng）套用，应对现有（yǒu）的（de）组织运作流（liú）程（chéng）进行详细分析，有（yǒu）针对性地设计（jì）并改善现有（yǒu）管理体系（xì）、改善薄（báo）弱环节、改善运作流（liú）程及（jí）内部沟（gōu）通，并有效地将先进的管理思想融合到具体的实施程序（xù）中（zhōng），才能发（fā）挥（huī）标准的真正作用。

获得（dé）认证证书不是较终目的，建立有责、有序、有（yǒu）效（xiào）的信息安全（quán）管（guǎn）理体（tǐ）系，提高员工的信（xìn）息安全（quán）意识（shí），不断获取并运用先进的管理方法和技术手（shǒu）段才能使企业的信息安全管理（lǐ）水（shuǐ）平得以持续的发展和（hé）提升。