信息（xī）安全 (Information security): 是指信息的保密（mì）性 (Confidentiality) 、完整性（xìng） (Integrity) 和可用性 (Availability) 的保持。

•  保（bǎo）密性：为保障信息仅仅为那些被授权（quán）使用的人获取。

 信息的（de）保（bǎo）密性是针对信息被允许访问（ Access ）对象的多少（shǎo）而不同（tóng），所有人员都（dōu）可以访问（wèn）的（de）信息为公开（kāi）信息，需（xū）要限制访问的信息一般为（wéi）敏感信息或秘（mì）密，秘（mì）密（mì）可以根（gēn）据信息的（de）重要性及保（bǎo）密要求分为不（bú）同的密级，例如国（guó）家根（gēn）据秘密泄（xiè）露对国家经（jīng）济、安全（quán）利（lì）益产（chǎn）生（shēng）的（de）影响（后果）不同，将国家（jiā）秘（mì）密（mì）分（fèn）为秘密、机密和绝密（mì）三个等级，组织可（kě）根据其信息安全的实际，在（zài）符合（hé）《国家保密法（fǎ）》的（de）前提（tí）下将其（qí）信息划分为（wéi）不同的密级；对（duì）于具体的信息的保密性有时效性（xìng），如（rú）秘密到期解密等。

 •  完（wán）整性：为保护信息及（jí）其处理方法的准确（què）性和完（wán）整性。

信息完整性一方面（miàn）是指信息（xī）在（zài）利用（yòng）、传（chuán）输、贮存等过程（chéng）中不被篡改（gǎi）、丢失、缺损等，另一方面是指信息处理的方法的正确性（xìng）。不正当（dāng）的操作，如误删（shān）除文（wén）件，有可（kě）能造（zào）成重（chóng）要文件的丢失。

 •  可用性：为（wéi）保障授权使用人在需（xū）要时可以（yǐ）获取信息（xī）和（hé）使用相关的（de）资（zī）产。

信（xìn）息的（de）可用（yòng）性是指信息及（jí）相关的信（xìn）息（xī）资产在授权人需要的时候，可以立即获得（dé）。例如通（tōng）信线路中断故障（zhàng）会（huì）造成（chéng）信息（xī）的在一段（duàn）时间（jiān）内不可用，影（yǐng）响正常的商业运作（zuò），这（zhè）是（shì）信息可（kě）用性的破坏（huài）。不同类型（xíng）的（de）信息（xī）及相应资产的信息（xī）安全（quán）在保（bǎo）密性、完整性及可用性方（fāng）面关（guān）注点不同，如组（zǔ）织的专（zhuān）有技术、市场（chǎng）营销计划等商业秘密对组织（zhī）来讲保守机密尤其重要；而对于工业自动控制（zhì）系统，控制信息的（de）完整性相（xiàng）对其保（bǎo）密性重要得多。

为什（shí）么需要信息（xī）安（ān）全？

信息、信息处理过程及对信息起支（zhī）持作用的（de）信息系统和信息网络都（dōu）是重（chóng）要的（de）商务资产。信息的保密性（xìng）、完（wán）整性和可用性对（duì）保持竞（jìng）争优势、资金流（liú）动、效益、法律符合性和商业形象（xiàng）都是至关重要的（de）。然而，越来越多的组织及其信息系统和网络面临着包括（kuò）计算机诈骗、间谍（dié）、蓄意破坏（huài）、火灾、水灾等大范围的安全威（wēi）胁，诸如计算机病毒、计算机（jī）入侵、 Dos 攻击等（děng）手段造（zào）成的信（xìn）息灾难已变得更加普遍 , 有（yǒu）计划而不（bú）易（yì）被（bèi）察觉。组织（zhī）对信（xìn）息系统和信息服（fú）务的依赖意味（wèi）着更易受到安（ān）全威胁的破（pò）坏（huài），公共和（hé）私人（rén）网络（luò）的互（hù）连（lián）及信息（xī）资源的共享增（zēng）大（dà）了实现访问（wèn）控（kòng）制（zhì）的难度。许多信息系（xì）统（tǒng）本身就不是按照安全（quán）系（xì）统（tǒng）的要求来设计的，所（suǒ）以仅依靠技术（shù）手段来实现（xiàn）信（xìn）息（xī）安全（quán）有（yǒu）其（qí）局限性，所以（yǐ）信息安全的实（shí）现须（xū）得到管理和程序控制的适当支（zhī）持。确定（dìng）应采取哪（nǎ）些控制方式则需要周（zhōu）密（mì）计划，并注意细节（jiē）。信息安（ān）全管（guǎn）理（lǐ）至少需要组织中（zhōng）的（de）所（suǒ）有雇员的参与，此外（wài）还需（xū）要供应商、顾客或股东的参与和（hé）信息安全的专家（jiā）建（jiàn）议。在信（xìn）息系统设计阶（jiē）段就将安全（quán）要求和控（kòng）制一体化考（kǎo）虑，则成本（běn）会更低、效率会更高。

 BS7799的信息管理过程：

①确定（dìng）信息安全（quán）管理方针。

②确定 ISMS( 信（xìn）息安全管理体（tǐ）系) 的（de）范围

③进行风（fēng）险分析。

④选择控制目标并进（jìn）行控制。

⑤建立业（yè）务持续计划。

⑥建立并实施（shī）安全管理体（tǐ）系（xì）。

 建（jiàn）立（lì）信息安全管理体系的作用：

 任何（hé）组织，不论它在信（xìn）息（xī）技术方面如何努力以及（jí）采纳如何（hé）新的信（xìn）息安全技（jì）术，实际（jì）上在信（xìn）息安全管理方面都还存在漏洞，例如：

· 缺（quē）少信息安全管理论坛，安全导向不（bú）明确，管理支持不明显； 

· 缺少跨部（bù）门的（de）信息安全协调（diào）机制； 

· 保护特定资产以及（jí）完成（chéng）特定（dìng）安全过（guò）程的职责还（hái）不明确； 

· 雇员信息安全意识薄弱，缺少防范意（yì）识（shí），外（wài）来人员很容易直接进（jìn）入生产和工作场所； 

· 组织（zhī）信（xìn）息系统（tǒng）管理（lǐ）制度不够（gòu）健全； 

· 组（zǔ）织信息系统主机房安全存在（zài）隐患（huàn），如：防火设施存在（zài）问题，与危险品仓（cāng）库同处一幢办公（gōng）楼等（děng）； 

· 组织信息系统备份设备（bèi）仍有欠缺； 

· 组织信息系统安全防范（fàn）技术投入（rù）欠缺； 

· 软件（jiàn）知识产权保护欠缺； 

· 计算机房、办公场所（suǒ）等（děng）物理（lǐ）防范措施欠缺； 

· 档案（àn）、记录等（děng）缺少可靠贮存场所； 

· 缺少一旦发生意外时的保证生产（chǎn）经营连续（xù）性的措施和计划； 

        ……等等。

为什么要建（jiàn）立（lì）和实施（shī）ISO27001信息安全（quán）管理体系认证（2）

其实，组织可以参（cān）照信息安全管理模型（xíng），按照先进的信息安全管理标（biāo）准 BS7799 标（biāo）准建立（lì）组织（zhī）完整的（de）信息安（ān）全管（guǎn）理体（tǐ）系（xì）并实施与保持，达到动态的（de）、系统的（de）、全（quán）员参与（yǔ）、制度化（huà）的、以预防为主（zhǔ）的信（xìn）息安全（quán）管理方式，用较（jiào）低（dī）的成本，达到可接受的信息安全水平，就可以从根本上保证业务的连续性。组织建立、实施（shī）与保持信息安全管理体（tǐ）系（xì）将会产生如（rú）下作用：

· 强化（huà）员工的信息安全意（yì）识，规范（fàn）组织（zhī）信息安全（quán）行为（wéi）； 

· 对组（zǔ）织的关键信息资产进行全面系统的保护，维持竞争优势； 

· 在（zài）信（xìn）息（xī）系统受到侵袭时，确保业（yè）务持续（xù）开展并将损失降到较低（dī）程度； 

· 使（shǐ）组织的生意伙伴和客户（hù）对组（zǔ）织充满信心； 

· 如果通过体（tǐ）系认证，表明体系符（fú）合标准，证明组织（zhī）有能力保障重要信息，提高组织的名度与信（xìn）任度； 

· 促使管理层坚持贯彻信息安全保障体系。 

BS7799标（biāo）准概述：

· 1995 年，英国贸工部根据英（yīng）国国内企业对（duì）信息安（ān）全日益高涨（zhǎng）的呼声，组（zǔ）织大企业的信息安（ān）全经理们，制定了世界（jiè）上第一个信息安全管理体（tǐ）系标准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为（wéi）工商业和大、中、小型组织实施信息安全（quán）管理的指（zhǐ）南。由于该标准采用建议和指导方式（shì）编写，因而不宜作（zuò）为认证标准使用。 

· 1998 年，为（wéi）了适（shì）应（yīng）第三方认证的需要，英国又制定了第一个信息安（ān）全管理体系（xì）认证（zhèng）标准 --BS7799-2 ： 1998 《信息安（ān）全管理体系规范》，作为对一（yī）个组织（zhī）的全部（bù）或部分信息安全管（guǎn）理体系进行评（píng）审认证的依（yī）据标准（zhǔn）。 

· 1999 年，鉴于（yú）计算机和信息处理技术，尤其（qí）是（shì）网络（luò）和通（tōng）信领域（yù）应用的迅速发展，英国又对信息安（ān）全（quán）管理（lǐ）体系标准进行了修（xiū）订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别（bié）取代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修订的 1999 版标准进（jìn）一（yī）步强调了组织在商务工（gōng）作（zuò）中所涉及的信（xìn）息安全和（hé）信息安（ān）全责（zé）任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一（yī）对配套标（biāo）准， BS7799-1 ： 1999 为如何建立和实（shí）施符合（hé） BS7799-2 ： 1999 标准要求的信息安全管理体系（xì）提供了较（jiào）佳的应用建（jiàn）议。 

· 2000 年 12 月（yuè）， BS7799-1 ： 1999 已（yǐ）经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术（shù）—信息（xī）安全管理实施规则》，另外（wài）， BS7799-2 ： 1999 也即（jí）将于 2002 年底（dǐ）被 ISO/IEC 作为（wéi）蓝本（běn）修订后成为（wéi）可用于认证（zhèng）的（de） ISO/IEC 的《信息安全管理体系规范（fàn）》。 

信息安（ān）全认（rèn）证（zhèng）是实现信息安全目标的较（jiào）佳途径：

BS7799-2：2002信息安全管理体系规（guī）范（fàn）向组（zǔ）织提出了一系列（liè）认（rèn）证（zhèng）的要（yào）求（qiú），在总则（zé）中提出组（zǔ）织应建（jiàn）立并保持一个文件化的信息（xī）安全管理体系（xì），阐述被保（bǎo）护的资（zī）产、组织风险（xiǎn）管理的渠道、控（kòng）制目标及控制方式和需（xū）要的保证（zhèng）等级；通过建立管理架构并加以实施来达到识别控制目标和控制方式，并（bìng）形成文件和记录。

BS7799-2：2002的控制细则包（bāo）括10个方面： 　

· 安全方（fāng）针：为信息安（ān）全提供管理（lǐ）指导和支持； 

· 组织安全：建立信息安全架构，保证（zhèng）组织的内部管理；被第三方访问或（huò）外协时，保障组织的信息安全； 

· 资产的归类与（yǔ）控（kòng）制：明确（què）资产（chǎn）责任，保持对组（zǔ）织资产（chǎn）的（de）适当保护；将（jiāng）信息进（jìn）行归类，确保信息（xī）资产受到适当程（chéng）度的保护（hù）； 

· 人员安全：在工作说明和资源方（fāng）面，减少（shǎo）因人为错误、盗窃、欺诈和（hé）设（shè）施误用（yòng）造（zào）成（chéng）的风险；加强（qiáng）用（yòng）户培训（xùn），确（què）保用户清楚（chǔ）知道信（xìn）息安全的危险性（xìng）和相关事项，以便在他们的日（rì）常工（gōng）作中支持（chí）组（zǔ）织的（de）安全方（fāng）针（zhēn）；制定安全事故或故障的反应程序（xù），减少（shǎo）由安全事故和故障（zhàng）造（zào）成（chéng）的损失（shī），监控安全（quán）事件（jiàn）并从这种事件中（zhōng）吸（xī）取教训； 

· 实物与环境安全（quán）：确定安全区域，防（fáng）止非授（shòu）权访问（wèn）、破坏、干扰商务场（chǎng）所和信息；通过保障设备安全，防止资产的（de）丢失、破坏、资产危害（hài）及商务活动的中断；采用通用的控制方式，防止信息或信息处（chù）理设施（shī）损坏或（huò）失窃； 

· 通信（xìn）和操（cāo）作方式管理（lǐ）：明确操作程序（xù）及其责任（rèn），确保信息处理设施的正确、安全操作；加强（qiáng）系统策划（huá）与（yǔ）验收，减（jiǎn）少系统（tǒng）失效风（fēng）险；防范恶意软件以保持软件和信（xìn）息的完整（zhěng）性（xìng）；加（jiā）强内（nèi）务管（guǎn）理以保（bǎo）持（chí）信息（xī）处理和通讯服务的（de）完整性（xìng）和有效（xiào）性（xìng）通过（guò） ; 加强网络管理确保网络中的信息安全及其（qí）辅助设施（shī）受（shòu）到（dào）保护（hù）；通过保护媒（méi）体处理的安（ān）全 , 防（fáng）止资产损坏（huài）和商（shāng）务（wù）活（huó）动的中断；加强信息和软件的（de）交换（huàn）的管理，防止组织（zhī）间（jiān）在交换信息时（shí）发生丢失、更改和误（wù）用； 

· 访（fǎng）问（wèn）控制：按照（zhào）访问（wèn）控（kòng）制的商务要求，控制信息访问；加强用户访问管（guǎn）理，防止非（fēi）授权访问信（xìn）息系统（tǒng）；明确用户职（zhí）责，防（fáng）止非授权（quán）的用（yòng）户（hù）访问；加强网络访问控制，保护网络（luò）服务（wù）程序；加强（qiáng）操作系统访问控（kòng）制 , 防止非授权的计算机访问；加强应用（yòng）访问控制，防止非（fēi）授权访问系统中的（de）信息（xī）；通（tōng）过（guò）监控系统的访（fǎng）问（wèn）与使用（yòng），监测非授权行为；在移（yí）动式计算（suàn）和（hé）电传工作（zuò）方面 , 确保使用移（yí）动（dòng）式计算和电传（chuán）工作设施的信息安全； 

· 系统开发与维护（hù）：明确系统安（ān）全（quán）要求，确保（bǎo）安（ān）全（quán）性（xìng）已构成信息系统（tǒng）的一部份；加强应用系统的安全，防（fáng）止应用系统用户数据的丢失、被（bèi）修（xiū）改或（huò）误用；加（jiā）强密码（mǎ）技术控制，保护信息的保密性、可靠性或完整性；加强（qiáng）系统文件的安全，确（què）保 IT 方（fāng）案（àn）及其支持活动（dòng）以安（ān）全的（de）方式进行；加强开（kāi）发和支持过程（chéng）的安全（quán），确保应用系统软（ruǎn）件（jiàn）和（hé）信息的安全（quán）； 

· 商务连续性管理（lǐ）：防（fáng）止商务活（huó）动的中断（duàn）及保护关键（jiàn）商务过程不受重大失误或（huò）灾难事（shì）故的（de）影响； 

· 符合：符合法律法规要求，避免刑法、民法（fǎ）、有关法令法规或合（hé）同（tóng）约定事（shì）宜（yí）及其他安全（quán）要求的规定相抵触；加强安（ān）全（quán）方（fāng）针和技术符合性评审（shěn），确保体系按照组（zǔ）织（zhī）的安全方针及（jí）标准执行；系（xì）统（tǒng）审核（hé）考（kǎo）虑（lǜ）因素（sù），使效果较大化 , 并使系统审核过程的（de）影响较小化。 　 

在国际（jì）标准（zhǔn） ISO/IEC17799 给出了为实现信息安（ān）全认（rèn）证所需（xū）的（de）各项措施（shī）的详细指导，具有很强（qiáng）的可操（cāo）作性和指导性。

归根结（jié）底，信息安全（quán）工作的目的（de）就是在法律、法规、政策的支持（chí）与指导下，通过采用合（hé）适的（de）安全技术与安全管理措施，提供安全需求的（de）保证，而（ér） BS7799 信息（xī）安全认证标准正是总和了（le）这些（xiē）要求。组（zǔ）织可以根据自身特点，在 ISO/IEC 17799 指导下（xià），实（shí）现信息安全（quán）的（de）要求。

 ISO27001：2005 《信息安全管（guǎn）理体系要求》

 ISO27001 ： 2005 《信息安（ān）全管理体（tǐ）系要求》是关（guān）于信息安全（quán）管（guǎn）理的标准，是（shì）标准不是（shì）方法（fǎ），达到这些标准的要（yào）求并不难，重要（yào）的是（shì）用什（shí）么方法去实（shí）现。企（qǐ）业应将实施标（biāo）准作为改善内（nèi）部管理的一次机会，不（bú）应该将标准做为一种简单的模式对现（xiàn）有流程运作进（jìn）行套用（yòng），应对现有（yǒu）的组织运作流程进（jìn）行详细分析（xī），有针对性地（dì）设计并改善现有（yǒu）管理体系、改（gǎi）善薄弱环节、改（gǎi）善运作（zuò）流程及（jí）内部沟通，并有效地将先进的管理（lǐ）思想融（róng）合（hé）到具体的（de）实施程序中，才能发挥标（biāo）准的真正作用。

获得认证证书不是较终目的，建立有责、有序、有效的（de）信息安全管理体系，提高（gāo）员（yuán）工的（de）信息（xī）安全意识，不断（duàn）获（huò）取并运用先进的管（guǎn）理方法和技术（shù）手段才能使企业（yè）的信息安（ān）全（quán）管理水平得（dé）以持续的发展和提升。