信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为保障（zhàng）信息仅（jǐn）仅为那些被授（shòu）权（quán）使用的人获取。

 信息的保密性（xìng）是针对信息被（bèi）允许访问（ Access ）对象的多少而不（bú）同，所有（yǒu）人员都可以（yǐ）访问（wèn）的信息为公开信息，需（xū）要限（xiàn）制访问的信息一般为敏感信息或秘密，秘密（mì）可以根据（jù）信（xìn）息的重要性及保密要求分为（wéi）不同的密级，例如国家根据秘密泄露对国家经济、安全利益（yì）产生的影（yǐng）响（后果）不同（tóng），将国（guó）家秘（mì）密（mì）分为秘（mì）密、机密和绝密三个（gè）等级，组织可根据其信息安（ān）全的（de）实际（jì），在符合《国家保密法》的前提下将其信息划分为不同的密级；对于具体（tǐ）的信息的保（bǎo）密（mì）性有时效性（xìng），如秘密到期（qī）解密（mì）等。

 •  完整性：为保护（hù）信息及其处理方法的准确性（xìng）和完整性（xìng）。

信（xìn）息完（wán）整性一方面是指信息在利用、传（chuán）输、贮存（cún）等过（guò）程中不被篡改、丢失、缺损等，另一方面是（shì）指信息处（chù）理的方（fāng）法的正确性。不正当的（de）操作，如误（wù）删除文件，有可能造成重要文件的丢失。

 •  可用性：为保（bǎo）障授（shòu）权使用人在需要时可（kě）以（yǐ）获取信息和使用相关的（de）资产。

信息的可用性是指信（xìn）息（xī）及相（xiàng）关（guān）的信息资产在授权人需要的（de）时候，可（kě）以立即获得。例如通（tōng）信线路中（zhōng）断故障会造成信息（xī）的（de）在一段时间（jiān）内不可用，影（yǐng）响正（zhèng）常（cháng）的商业运作，这是（shì）信息可用性的破坏。不同类型的信息及相应资产（chǎn）的信息安全在保（bǎo）密（mì）性、完整性及可用性方面（miàn）关注（zhù）点不（bú）同，如组（zǔ）织（zhī）的专有技术、市（shì）场营销计（jì）划等商业秘密（mì）对（duì）组织来讲保守机密尤其重要；而对于工业自动控制系统，控制信息的完（wán）整性相对其保密性（xìng）重要得（dé）多（duō）。

为什么（me）需（xū）要信息安全？

信息、信（xìn）息处理过程及对信息起支持作用的信息系统（tǒng）和信（xìn）息（xī）网络（luò）都（dōu）是重要的（de）商（shāng）务资产（chǎn）。信息的保密性（xìng）、完整性（xìng）和（hé）可用性对保持竞争优势、资金流动（dòng）、效益、法律（lǜ）符合性和商业形象都是至关重（chóng）要的。然而，越来（lái）越多的组（zǔ）织及其信（xìn）息（xī）系统和网络面临着（zhe）包括计（jì）算机（jī）诈骗、间谍、蓄意破（pò）坏、火（huǒ）灾、水灾等（děng）大范围的安全威胁，诸如计算（suàn）机病毒、计算机入侵、 Dos 攻击等手段造成的信息（xī）灾（zāi）难（nán）已（yǐ）变得（dé）更（gèng）加普遍（biàn） , 有（yǒu）计划而不（bú）易（yì）被察觉。组织对信息系（xì）统和信息（xī）服（fú）务的（de）依赖意味（wèi）着（zhe）更易受到安全威胁的破坏，公共（gòng）和（hé）私（sī）人网络的互（hù）连及信息资源的（de）共享增（zēng）大了实现访问控制的（de）难度。许多信息（xī）系（xì）统本（běn）身就不是按（àn）照安全（quán）系统的要求来设计（jì）的，所以仅依靠技术手（shǒu）段来实现信息安全有其局（jú）限性，所以信息安全的实现须（xū）得到管理（lǐ）和程序控制的适当支持。确定应采取哪些控制方式（shì）则需要周密计划，并注意细节。信（xìn）息安全（quán）管（guǎn）理至少需要组（zǔ）织中的所有雇员的参与，此外还（hái）需要供（gòng）应商、顾客或股（gǔ）东（dōng）的（de）参与和（hé）信息安（ān）全的专家建议。在（zài）信（xìn）息（xī）系统（tǒng）设（shè）计阶段就将（jiāng）安全要求（qiú）和（hé）控制一体化考虑（lǜ），则（zé）成本会更低、效率（lǜ）会更高。

 BS7799的信息管理过（guò）程：

①确定信息（xī）安（ān）全管理（lǐ）方（fāng）针。

②确定 ISMS( 信息安全管理（lǐ）体系) 的范围

③进行风（fēng）险分析。

④选择控制目标并进行（háng）控制（zhì）。

⑤建立业务持续计划。

⑥建立并实（shí）施安全管（guǎn）理体系。

 建（jiàn）立信息安全（quán）管理体系的作用：

 任何（hé）组织，不论它（tā）在信息（xī）技术方面如（rú）何努力（lì）以及采纳如何新的信息安全（quán）技（jì）术，实际上在信息（xī）安全管理方面都还存在漏洞，例如：

· 缺少信息安全管理论坛，安全（quán）导向不明确，管理（lǐ）支持不明（míng）显（xiǎn）； 

· 缺少跨（kuà）部门的信息安全协调（diào）机制； 

· 保护（hù）特定（dìng）资产以及完（wán）成（chéng）特定（dìng）安全（quán）过程的职责（zé）还不明（míng）确； 

· 雇员信（xìn）息安全意识薄弱，缺少防范意识（shí），外来人员很（hěn）容易直接进入生（shēng）产和工作场所； 

· 组织（zhī）信息系统管理制度不够（gòu）健全； 

· 组织信息系统主机房安全存在隐患，如（rú）：防火设施存在问题，与危险品仓库同处一幢（zhuàng）办公（gōng）楼等； 

· 组织信（xìn）息系统备份设备仍（réng）有欠（qiàn）缺； 

· 组（zǔ）织信（xìn）息系（xì）统安全防范（fàn）技术投入（rù）欠缺； 

· 软件知识产（chǎn）权保护欠缺； 

· 计算机房、办公场所等物理防范措施欠缺（quē）； 

· 档（dàng）案、记录等缺少（shǎo）可（kě）靠贮存场所； 

· 缺少一旦发生意外时的保证生产经营连续性的措施和计划； 

        ……等等。

为（wéi）什么要建（jiàn）立（lì）和（hé）实施ISO27001信息安全管理体系认证（2）

其实，组（zǔ）织可以参照信（xìn）息（xī）安（ān）全管理模（mó）型，按照先进的（de）信息安全管理标准 BS7799 标准建立组织完（wán）整的信息安全管理体系并实施与保持，达到动态的、系统的（de）、全（quán）员参与、制度化的、以预防为主的信息安（ān）全（quán）管理方（fāng）式，用较（jiào）低的成（chéng）本，达到可（kě）接受（shòu）的（de）信息安全水平，就可以从根本上保证业务的连续性。组织建立、实施与保持信（xìn）息安全管理（lǐ）体系将会产生如下作（zuò）用：

· 强化员工的信息（xī）安全意识，规范组织信息安全行为； 

· 对组织的（de）关键信息（xī）资产进行全面系统的（de）保护，维（wéi）持竞争优势； 

· 在信（xìn）息系统受（shòu）到侵袭时，确保业（yè）务持续（xù）开展（zhǎn）并将损（sǔn）失降到较低（dī）程度； 

· 使组织的生意伙伴和客（kè）户对（duì）组（zǔ）织（zhī）充（chōng）满信心； 

· 如果通（tōng）过体系（xì）认证，表明体系（xì）符合标准（zhǔn），证明组织有能力保障（zhàng）重（chóng）要信息，提高（gāo）组（zǔ）织的（de）名度与信任（rèn）度； 

· 促使（shǐ）管理（lǐ）层坚持贯彻信息安全保障（zhàng）体系（xì）。 

BS7799标准概述：

· 1995 年，英国贸工部根据英国国内企业对信息安全日益高涨（zhǎng）的（de）呼声，组（zǔ）织大企业的信息安全经理们，制（zhì）定了（le）世界上第一个信息安全管理（lǐ）体系标准（zhǔn） BS7799-1 ： 1995 《信（xìn）息安（ān）全管理实施规则》，作为工商业（yè）和大（dà）、中、小型组（zǔ）织实施（shī）信息安全管（guǎn）理的指南。由于该（gāi）标准采用建议和指（zhǐ）导方（fāng）式编写，因（yīn）而（ér）不宜作为认证标（biāo）准使用。 

· 1998 年，为了（le）适应第三方认证的需要，英国又制定了第一个信息安（ān）全管理体系认（rèn）证（zhèng）标准（zhǔn） --BS7799-2 ： 1998 《信息安全（quán）管理体系规范》，作（zuò）为对一个（gè）组织的全部或部（bù）分（fèn）信息安全管理体（tǐ）系进（jìn）行（háng）评审认证（zhèng）的依据（jù）标准。 

· 1999 年，鉴（jiàn）于计（jì）算机和信息处理技（jì）术，尤其（qí）是网络和（hé）通信（xìn）领域应用的迅速发展（zhǎn），英国（guó）又对（duì）信息安全管理体（tǐ）系标准进行（háng）了（le）修订（dìng）。修（xiū）订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修（xiū）订的 1999 版标（biāo）准（zhǔn）进一步强调了组织在商务工作（zuò）中所涉及的信息（xī）安全和信息安（ān）全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套（tào）标（biāo）准， BS7799-1 ： 1999 为如何建（jiàn）立和实施符合（hé） BS7799-2 ： 1999 标准要求的信息安全（quán）管理体系提供（gòng）了（le）较佳的（de）应（yīng）用建议（yì）。 

· 2000 年 12 月（yuè）， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正（zhèng）式（shì）采纳（nà）成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施（shī）规则》，另外， BS7799-2 ： 1999 也即将（jiāng）于 2002 年（nián）底被 ISO/IEC 作为蓝本修订后成为可（kě）用于认证的 ISO/IEC 的《信（xìn）息安全管（guǎn）理体系规范》。 

信息安全认证是实现（xiàn）信息安全（quán）目标（biāo）的较佳途径：

BS7799-2：2002信息（xī）安（ān）全管理（lǐ）体系规（guī）范向组织提出了一系列认证的要求，在总则中提出组（zǔ）织（zhī）应建立并保持（chí）一个文件化的信（xìn）息安全管理体系（xì），阐述被保护（hù）的资产、组织风险管理的渠道（dào）、控制目（mù）标及控制方式和需要的保证（zhèng）等（děng）级；通过（guò）建立管理（lǐ）架构并加以实施来达到识别控制（zhì）目（mù）标和控制（zhì）方式，并形成文（wén）件（jiàn）和记录。

BS7799-2：2002的控制细则包括10个方面（miàn）： 　

· 安全方针（zhēn）：为信息安全（quán）提供（gòng）管（guǎn）理指导和支持； 

· 组（zǔ）织（zhī）安全（quán）：建立信息安全架构，保证组织（zhī）的内部管（guǎn）理；被第三方访问或外协时（shí），保（bǎo）障组织的信息（xī）安（ān）全（quán）； 

· 资产的归类与控制（zhì）：明确资（zī）产责任（rèn），保（bǎo）持对组（zǔ）织资产（chǎn）的（de）适当保护；将信（xìn）息进行归类，确保信息资产（chǎn）受到适当（dāng）程度的（de）保护； 

· 人员安全：在工（gōng）作说明和资源（yuán）方（fāng）面（miàn），减少因人为（wéi）错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保（bǎo）用户清楚知道信息安全的危险性和相关事项，以便在他们的日常（cháng）工作中支持（chí）组织的安全（quán）方针（zhēn）；制定（dìng）安全事故或故障的反应程序，减少由安全事故和故障造成（chéng）的损失，监（jiān）控安（ān）全（quán）事件并从这（zhè）种事件中吸取（qǔ）教训（xùn）； 

· 实（shí）物与环（huán）境安（ān）全：确（què）定安全（quán）区域，防止非授权访问、破坏、干扰商（shāng）务场所和（hé）信息；通（tōng）过保障（zhàng）设备安全，防止资产（chǎn）的丢失（shī）、破坏、资产危害及商务活（huó）动的（de）中（zhōng）断（duàn）；采（cǎi）用（yòng）通用的控制方式（shì），防止信息或信息处理设施（shī）损坏或失窃； 

· 通（tōng）信和操作方式管（guǎn）理：明确操作程序及其责任，确保信息处理设施的正确、安全操作；加（jiā）强系（xì）统策划与验（yàn）收，减少系统失效风险（xiǎn）；防范恶意软件以保持软（ruǎn）件和（hé）信息的完（wán）整性；加强内务（wù）管理以保持信（xìn）息处理（lǐ）和通讯服务（wù）的完整性和有效性（xìng）通（tōng）过 ; 加强（qiáng）网络管理确保网络中的（de）信（xìn）息安全及其辅助设施受到保护；通过（guò）保（bǎo）护媒体处理的安（ān）全（quán） , 防止资产损坏和商务活动（dòng）的中（zhōng）断；加强信息和软件（jiàn）的交换的管理，防（fáng）止（zhǐ）组织间（jiān）在交换信息时（shí）发生丢失、更改和误（wù）用； 

· 访问控制：按照访问控制的商务要求，控制信息访问；加强用户（hù）访问管理，防止非授权访问（wèn）信息系统；明确用户职责，防止非授权的用（yòng）户访问（wèn）；加（jiā）强（qiáng）网络（luò）访（fǎng）问控制，保护网络（luò）服务程（chéng）序；加强操作系统（tǒng）访问控制 , 防（fáng）止非授权的计算机访问；加强应用访问控制，防止（zhǐ）非授权访（fǎng）问系（xì）统中的信息；通过（guò）监（jiān）控系统（tǒng）的（de）访（fǎng）问与（yǔ）使用，监测非授权行为；在移动式计算和电传工作（zuò）方面 , 确（què）保使用（yòng）移动式计算和电（diàn）传（chuán）工作设施的信息安全； 

· 系统开（kāi）发与维护（hù）：明确系统安全（quán）要（yào）求（qiú），确保安（ān）全性已构成（chéng）信息系统的一（yī）部份；加强应用系统的安全，防（fáng）止应用系统用户数（shù）据的丢失、被修改或误用；加（jiā）强密（mì）码技术控（kòng）制，保护（hù）信息的保密性、可靠性或完整性；加强系统文（wén）件的安全，确保 IT 方案及其（qí）支持活动以安全的（de）方式进（jìn）行；加强（qiáng）开发和支持过（guò）程的安全（quán），确保（bǎo）应用系统软件和信息的安全（quán）； 

· 商务连续性管理：防止（zhǐ）商务活动的中断及保护（hù）关键商务（wù）过程不受重大失误或灾（zāi）难事故的影响； 

· 符合（hé）：符（fú）合法律法规要（yào）求（qiú），避（bì）免刑法（fǎ）、民法、有关法令法规或合（hé）同（tóng）约定事宜及其他安（ān）全要（yào）求的规定相（xiàng）抵触；加强安（ān）全（quán）方针（zhēn）和技术符合性评审，确保体系按照组织的安全方针及标准执行；系统审（shěn）核考虑因（yīn）素，使效果较（jiào）大（dà）化 , 并（bìng）使系统审核过程的影响较小（xiǎo）化。 　 

在国际标准 ISO/IEC17799 给出了为实（shí）现信息安（ān）全（quán）认证所需的各项措施（shī）的（de）详细指导，具（jù）有很强的可操作性和指导性。

归根（gēn）结底，信息安全工作的目的就是在（zài）法律（lǜ）、法（fǎ）规、政（zhèng）策的支（zhī）持与指导下，通过采用合（hé）适的（de）安全技（jì）术与安（ān）全管理措施，提（tí）供安全需求的保证，而 BS7799 信息安（ān）全（quán）认证标准正是总（zǒng）和（hé）了这些要（yào）求。组织可以根（gēn）据（jù）自身特点，在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信（xìn）息安全管理体系要求》

 ISO27001 ： 2005 《信息安（ān）全管理体系要求》是关于信息安全管理的标准，是标准（zhǔn）不是方法，达到这些标准的要求并不难（nán），重要的是（shì）用什么方法去实现。企业应将实（shí）施标（biāo）准作为改善内部管理的一次（cì）机会，不应（yīng）该将标（biāo）准（zhǔn）做为一种简单的（de）模式对（duì）现有流（liú）程运（yùn）作进行套（tào）用，应对（duì）现有的组织运作流程进行详细分（fèn）析，有（yǒu）针对性地设计并（bìng）改（gǎi）善现（xiàn）有管理（lǐ）体（tǐ）系、改善薄（báo）弱（ruò）环节、改善运作流程及内（nèi）部沟通，并（bìng）有效地（dì）将先进（jìn）的管（guǎn）理（lǐ）思想融合到具体的实施程序（xù）中，才能发挥标准的真正作用。

获得认证证书不是较终目的，建立（lì）有责（zé）、有序、有效的（de）信息安全管（guǎn）理体系，提（tí）高员工（gōng）的（de）信息安全意识，不断获取并运用先进的管理方法和（hé）技术手段才能（néng）使企业的信息安全管理水平得以持续的发展和提升。