信息安全 (Information security): 是指（zhǐ）信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持（chí）。

•  保（bǎo）密性：为（wéi）保（bǎo）障信（xìn）息仅仅（jǐn）为那些（xiē）被授权使用的人获（huò）取。

 信息的保密性是针（zhēn）对信（xìn）息被允许访问（ Access ）对（duì）象的多少而不同，所有人员都可（kě）以（yǐ）访问的信息（xī）为公开信息，需要（yào）限制访问的信息一般为敏感信息或秘密（mì），秘密可以根据信息（xī）的重要性及保密（mì）要求分为（wéi）不同的密（mì）级，例如国家根（gēn）据秘密泄露对国家经（jīng）济、安（ān）全利益产生的影响（后（hòu）果）不同，将（jiāng）国家秘密分为秘密、机（jī）密和绝密三（sān）个等（děng）级，组织可根据其信息安全的实际，在符合《国家保密法》的前提下（xià）将其信息（xī）划分为不同的密级；对（duì）于（yú）具体的信息的保密性有时（shí）效性，如秘（mì）密（mì）到期解（jiě）密等。

 •  完整性：为保护（hù）信息及（jí）其处理方法的准确性和完整（zhěng）性。

信息完（wán）整性（xìng）一方面（miàn）是（shì）指信息在利用、传输（shū）、贮存（cún）等过（guò）程中不被篡改、丢失、缺损（sǔn）等，另一方面是指信息处理的方法（fǎ）的正确性。不正（zhèng）当的操（cāo）作，如（rú）误（wù）删（shān）除文（wén）件，有可能造成重要（yào）文件的丢失（shī）。

 •  可用性：为保障授权使用人在（zài）需（xū）要时可以获取信息和使用相关的资产（chǎn）。

信息的可用性是（shì）指信息（xī）及相关的信息资产（chǎn）在授（shòu）权人需（xū）要的（de）时（shí）候，可以立即获（huò）得（dé）。例如通信线路中断故障会造成信（xìn）息的在一段时间内不可用，影响正常的商业运作，这（zhè）是信（xìn）息可用性的破（pò）坏。不同类型（xíng）的信息及（jí）相应资（zī）产的（de）信息安（ān）全在保（bǎo）密（mì）性、完（wán）整性及（jí）可用性（xìng）方面关注点不同，如组织（zhī）的专有技术、市场营销计划（huá）等商业秘密对组织来讲保守机密尤其重（chóng）要；而对于（yú）工业自动控制系（xì）统（tǒng），控制信息的完（wán）整性相（xiàng）对（duì）其保密性重（chóng）要得多。

为（wéi）什么需要信息安全（quán）？

信息、信息（xī）处理过程及对信息（xī）起支持作用的信息系统和（hé）信息网络都是（shì）重要的商务资产（chǎn）。信息的保密性、完整性和（hé）可用（yòng）性（xìng）对保持竞争优势、资金流动、效益、法律符合（hé）性（xìng）和商业形（xíng）象都是（shì）至关重要的。然而（ér），越来越多的（de）组织及其（qí）信息系统和网络面临着包括计（jì）算机诈骗、间谍、蓄意破坏、火灾（zāi）、水灾等大范围（wéi）的（de）安全威胁，诸如（rú）计算机（jī）病毒、计算机入侵（qīn）、 Dos 攻击等手（shǒu）段造成的信（xìn）息灾难已变得更加普遍 , 有计划而不易被察觉。组织对信息系统和信（xìn）息服务的依赖意味着更易受（shòu）到安全（quán）威胁的破坏，公共和私人（rén）网络的（de）互连及信息资源的共享增大了实现访问控制的难度。许多（duō）信息系统（tǒng）本身（shēn）就不是按照安全系统的要求来设计的，所以仅依靠（kào）技术（shù）手（shǒu）段来实（shí）现（xiàn）信息安全有（yǒu）其（qí）局限性，所以（yǐ）信息安全的实现须得到管理和程序控制的适当支持。确定（dìng）应采（cǎi）取哪些控制方式则（zé）需要周密计划，并注意细节。信（xìn）息（xī）安全（quán）管理至少（shǎo）需要组织中的所有（yǒu）雇员的参（cān）与，此外还需（xū）要供应商、顾客或股东的参与和（hé）信息安（ān）全的专家（jiā）建议（yì）。在信息系统设计（jì）阶段就将（jiāng）安（ān）全要求和控制（zhì）一体（tǐ）化考虑，则成本（běn）会（huì）更低、效率会更高。

 BS7799的信息（xī）管理（lǐ）过程：

①确定（dìng）信息安全管理方针。

②确定 ISMS( 信息安全（quán）管理（lǐ）体系) 的范围（wéi）

③进行风险分析。

④选择控制（zhì）目标（biāo）并进行（háng）控制。

⑤建立业务（wù）持续（xù）计划。

⑥建（jiàn）立并实施安全（quán）管理（lǐ）体系。

 建立信息（xī）安全管理体（tǐ）系的作用：

 任何组（zǔ）织，不论它在信息技术方面如何努力以及采纳如何新（xīn）的（de）信息安全技术，实际（jì）上在信息安全管理（lǐ）方面（miàn）都还存在漏洞，例如：

· 缺少（shǎo）信息安全（quán）管理论（lùn）坛，安全导（dǎo）向不明（míng）确，管理支持不明（míng）显（xiǎn）； 

· 缺少跨部门的信（xìn）息安（ān）全协调机制； 

· 保（bǎo）护（hù）特定资（zī）产（chǎn）以及完成特定安全过程的职责还不明确； 

· 雇（gù）员信息（xī）安全意识薄弱，缺少防范意（yì）识，外来（lái）人员（yuán）很容易直接（jiē）进入生产（chǎn）和工作场所； 

· 组织信（xìn）息系统管理制度不够健全； 

· 组织信息系统（tǒng）主机房安全存在（zài）隐患，如：防火设施存在问题（tí），与危险（xiǎn）品仓库同处一幢办公（gōng）楼等； 

· 组织信（xìn）息系统备份设备仍有欠缺； 

· 组（zǔ）织信息系统安全（quán）防范技（jì）术投入欠缺； 

· 软件知识产权保护欠（qiàn）缺； 

· 计算机房、办（bàn）公场所（suǒ）等物理防（fáng）范措施欠缺； 

· 档案、记录等缺少可靠贮存场所（suǒ）； 

· 缺少（shǎo）一旦（dàn）发生意外时的（de）保证生产经（jīng）营（yíng）连续（xù）性的措施和计划； 

        ……等等（děng）。

为（wéi）什么要建立和实施（shī）ISO27001信息安全管理体（tǐ）系认证（2）

其实，组织（zhī）可以参照信息安全管理模型，按照先进的信息安全（quán）管理标准 BS7799 标准建立组织完整的信（xìn）息（xī）安全管理（lǐ）体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预（yù）防为主的信息安全管理（lǐ）方式（shì），用较低的成本（běn），达到可（kě）接受的（de）信息安全水平，就可以从根本上保证业务的（de）连续性。组织建立（lì）、实施与保持信息安全管理体系将会产生（shēng）如（rú）下作用：

· 强化员工（gōng）的（de）信息安全意识，规范组织信息安全行为（wéi）； 

· 对组（zǔ）织的（de）关键信息资产进行全面系统的保护，维持竞争优势； 

· 在信（xìn）息系统受到侵袭时，确保业务持续开展并将损失降到较低程度； 

· 使组织的生意伙伴和客户对组织充满信心； 

· 如果通过体系认证（zhèng），表明体系符合标准，证明（míng）组织（zhī）有能力保障重要信息，提高组织的名度与信任度； 

· 促使（shǐ）管理层（céng）坚持贯彻（chè）信息安全保障（zhàng）体系。 

BS7799标（biāo）准概（gài）述：

· 1995 年，英（yīng）国（guó）贸工部根据（jù）英国国内企业对信（xìn）息安全日益高涨的呼声，组织大企（qǐ）业（yè）的信息安（ān）全经理们，制定了世界上第一个信息安全管（guǎn）理体系标（biāo）准 BS7799-1 ： 1995 《信息安全管理实（shí）施规则》，作为工商业和大（dà）、中、小型组织实施信（xìn）息安全管理的指南。由于该标准（zhǔn）采（cǎi）用建议和指导（dǎo）方式编（biān）写，因而（ér）不宜作为认证标准使（shǐ）用。 

· 1998 年，为了适应第三方（fāng）认证的需要，英国（guó）又（yòu）制（zhì）定了（le）第一个信息安（ān）全管理体系（xì）认证（zhèng）标准 --BS7799-2 ： 1998 《信（xìn）息安全管理体（tǐ）系规范》，作为对一个组织的全部或部分信息安（ān）全（quán）管理体系进行（háng）评（píng）审认证的依据标准。 

· 1999 年，鉴于（yú）计算机（jī）和信息处理技术，尤其是网络（luò）和通（tōng）信领域应用的迅速发展，英国（guó）又（yòu）对信息安（ān）全（quán）管（guǎn）理体（tǐ）系标准（zhǔn）进行了修（xiū）订。修订后（hòu）的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别取代了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的 1999 版标准进一步强调（diào）了组织在商务工（gōng）作（zuò）中所（suǒ）涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准（zhǔn）， BS7799-1 ： 1999 为（wéi）如何建（jiàn）立和实施符合 BS7799-2 ： 1999 标准要求的（de）信息安全管理体系提供了较佳的应用（yòng）建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳（nà）成为国际（jì）标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技术—信息安全（quán）管理实施规则》，另外， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作为蓝本修订后成为（wéi）可用（yòng）于认证的 ISO/IEC 的（de）《信息安全（quán）管理体系规范（fàn）》。 

信（xìn）息安（ān）全（quán）认证（zhèng）是实现信息安全目标的较（jiào）佳途径：

BS7799-2：2002信息（xī）安全管理（lǐ）体系规范向组织提出了一系列认证的要求，在（zài）总则中提出（chū）组织应建（jiàn）立并保持一个文件化的信息安全管理体系，阐（chǎn）述被保护的（de）资产、组织（zhī）风险管理的渠道、控（kòng）制目标及（jí）控制方式和需要的保证等级（jí）；通过建立管理架构（gòu）并加以实（shí）施来达到识别控制目（mù）标和（hé）控（kòng）制方式，并形（xíng）成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方（fāng）针：为信息安（ān）全（quán）提供管理指导和支持； 

· 组织安全：建立信息安全架构，保（bǎo）证组织的内部（bù）管理；被第三方（fāng）访问或外（wài）协时，保障组织（zhī）的信息安全（quán）； 

· 资产（chǎn）的归类与控制：明确资产责任，保持对（duì）组织资产的（de）适当（dāng）保（bǎo）护；将信息进行归类，确保信息资产受到适当程度（dù）的保护； 

· 人员安全（quán）：在（zài）工作说明和资（zī）源方面，减少（shǎo）因人为错（cuò）误、盗窃、欺诈和设施误（wù）用造成（chéng）的风险；加强（qiáng）用户培训，确保用户清（qīng）楚知道（dào）信息安（ān）全的危险性（xìng）和相关事项，以便在他们的日常（cháng）工作中支（zhī）持组织（zhī）的安（ān）全方针；制（zhì）定（dìng）安全事故或故障的反应程序，减（jiǎn）少由安全事（shì）故（gù）和故障造成的损失，监控安全（quán）事（shì）件并从这种（zhǒng）事件（jiàn）中吸取教训； 

· 实物与（yǔ）环境安全：确定安（ān）全区域，防止非授权访问、破坏、干扰商务（wù）场所和信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及商务活动的中断（duàn）；采用通用的控制方式（shì），防止信（xìn）息或信息处理（lǐ）设施损坏或失窃； 

· 通信和操作方（fāng）式管理：明确操（cāo）作程序及（jí）其责任，确保信（xìn）息处理设施的正确、安全操作；加强（qiáng）系统策划与验（yàn）收，减少系统（tǒng）失效风（fēng）险；防范恶意软件以保持软件（jiàn）和（hé）信（xìn）息的完整性；加强内务管理（lǐ）以（yǐ）保持信息处理和通（tōng）讯服务（wù）的完整性和有效性通（tōng）过 ; 加强网络管理确保（bǎo）网（wǎng）络中的信（xìn）息安全及其辅助设施受到保护；通过保（bǎo）护（hù）媒（méi）体（tǐ）处理的（de）安全 , 防止资产损坏和商（shāng）务（wù）活动（dòng）的中断；加强信息和（hé）软件的交换的管理，防止组织间在交换信息时发生（shēng）丢失（shī）、更改和（hé）误用； 

· 访问控制：按照（zhào）访问控制的商务要求，控制信息访问；加（jiā）强用户（hù）访（fǎng）问（wèn）管理，防止非授权访问信息系统；明确用户职责，防（fáng）止非授（shòu）权的用户访（fǎng）问；加强网络访问控制，保（bǎo）护网（wǎng）络服务（wù）程序；加强操作（zuò）系统访问控（kòng）制 , 防止非授权（quán）的计算机访问；加强应用访问（wèn）控制，防止（zhǐ）非授权访（fǎng）问系统（tǒng）中的信（xìn）息；通（tōng）过监控系统的访（fǎng）问与使（shǐ）用（yòng），监（jiān）测（cè）非授权行为（wéi）；在移（yí）动（dòng）式（shì）计算和电传工作方面 , 确保使用移动式（shì）计算（suàn）和电（diàn）传工作设施的信息安全； 

· 系统开发与维护：明（míng）确系统安全要求，确（què）保安全性已构（gòu）成（chéng）信息系统的（de）一部份；加强应用系（xì）统的安全（quán），防止应用（yòng）系统用户数据的丢失、被（bèi）修改或误用；加强密码技术控制，保护信息的（de）保密（mì）性、可（kě）靠性或（huò）完整性；加（jiā）强系统文（wén）件的安（ān）全，确保 IT 方案及其支持活动以安全的方式进行；加强开发和支（zhī）持过程的安全，确保应用系统（tǒng）软件和信息的安全； 

· 商（shāng）务（wù）连续性管理：防（fáng）止商务活动的中（zhōng）断（duàn）及保护关键商务过程不（bú）受（shòu）重大失（shī）误或灾难事（shì）故的影响； 

· 符合：符合法律法（fǎ）规要求，避（bì）免刑法、民（mín）法（fǎ）、有关法（fǎ）令法规或合同约定事宜（yí）及其（qí）他安全要求的（de）规定（dìng）相抵触；加强安全方针和（hé）技术符合性评审，确保体系按照（zhào）组织（zhī）的安全方针及标（biāo）准（zhǔn）执行；系统审核考虑因素，使（shǐ）效果较大化（huà） , 并（bìng）使（shǐ）系（xì）统审核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出（chū）了为实现信（xìn）息（xī）安全认证所（suǒ）需的各项措施的详（xiáng）细指导（dǎo），具有很（hěn）强的可操（cāo）作性和（hé）指导性。

归根结底，信息安全（quán）工作的（de）目的就是在法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全管理措（cuò）施，提供安（ān）全需求的保证，而 BS7799 信息安全认证标准正是（shì）总和了这些要（yào）求。组织可以根据自身特点（diǎn），在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全管理体系（xì）要求》是关于（yú）信息安全管理的标准（zhǔn），是标准（zhǔn）不是方（fāng）法，达（dá）到这些标准的要（yào）求并不难，重要的是用（yòng）什么（me）方法去实现（xiàn）。企业应将实施标（biāo）准作为改善内部管（guǎn）理的一次机会，不应该将标准做为一（yī）种简单的（de）模（mó）式对现有流程运作进行套用，应对（duì）现有的组织运作流程进行详细（xì）分析（xī），有针对性地（dì）设（shè）计并改善现（xiàn）有管（guǎn）理体系、改善薄弱环（huán）节、改善运作流程及内部沟（gōu）通，并有效地将先进的管理思想融合到具体的实施程序（xù）中（zhōng），才能发（fā）挥标准的（de）真正作用。

获（huò）得认（rèn）证证书不是较终目的，建立（lì）有责、有（yǒu）序、有效的信息（xī）安全管理体（tǐ）系，提高员工的信息安全意（yì）识，不（bú）断获取并运用先进（jìn）的管理方法和技术手段（duàn）才能使企业的信息安全管理（lǐ）水平（píng）得（dé）以（yǐ）持续的发展（zhǎn）和提升。