信息安全 (Information security): 是（shì）指信息的保密（mì）性 (Confidentiality) 、完整（zhěng）性 (Integrity) 和可用性 (Availability) 的保持。

•  保密（mì）性（xìng）：为保（bǎo）障信息仅（jǐn）仅为那些（xiē）被（bèi）授权使（shǐ）用的人获取。

 信息的保（bǎo）密性是针对信息（xī）被（bèi）允（yǔn）许访问（wèn）（ Access ）对（duì）象的多少而不同（tóng），所有人员都可（kě）以（yǐ）访问的信（xìn）息为公开信息（xī），需要限制访问的信息一般为敏感信息或秘（mì）密，秘密可以根据信息的重要性及保（bǎo）密要求分为不同的密级（jí），例如国家根据秘密泄露对国（guó）家（jiā）经济、安全（quán）利益产生的影响（后果（guǒ））不同，将国家秘（mì）密分为秘密、机密和（hé）绝密（mì）三个等（děng）级，组织可根据其（qí）信息安（ān）全的实际（jì），在符合《国（guó）家保密（mì）法》的前提（tí）下将其信息划（huá）分（fèn）为不同的密级；对于具体（tǐ）的信息的保密（mì）性有时效（xiào）性，如秘密到期解密等。

 •  完整性：为（wéi）保护信息及其处理方法的（de）准确性和完（wán）整性。

信息完整（zhěng）性一方（fāng）面是指信息在（zài）利用、传（chuán）输、贮存等过程中不被篡（cuàn）改、丢（diū）失、缺损等（děng），另一方面是指信（xìn）息处理的方法的正确性（xìng）。不正当的操作，如误删除文件，有可能造成重要文件（jiàn）的（de）丢失。

 •  可用性：为保障授权使用人在需（xū）要（yào）时可以获取信息和使（shǐ）用相关的资产。

信息的可用性是指（zhǐ）信息及相关（guān）的信息资产在授权人（rén）需要的（de）时（shí）候，可以（yǐ）立即获得。例如通（tōng）信线路中断故障会造成信息的在（zài）一段时间（jiān）内不可用，影响正常的商业运作，这是信息（xī）可用性的破坏。不同（tóng）类型的信息及相应资产的信（xìn）息安全在保（bǎo）密性、完整性及（jí）可（kě）用性方面关注点（diǎn）不同，如组织的专有技术、市场营销计（jì）划等商业秘密对组织来（lái）讲保守机密尤其（qí）重要；而（ér）对于工业自动控制系统，控（kòng）制信息的完（wán）整性相（xiàng）对其保密性重要（yào）得多。

为（wéi）什么（me）需要信息安全？

信息、信息处理过程及对（duì）信息起（qǐ）支持（chí）作用的信（xìn）息系统和（hé）信息网络都是重要的商务资（zī）产。信息的保密性、完（wán）整（zhěng）性和可用性对保持竞（jìng）争优势、资金（jīn）流动、效益、法（fǎ）律（lǜ）符合性和商业形象都是至关重要的。然（rán）而（ér），越来越多的（de）组织及其信息系统和网络面临着（zhe）包（bāo）括计（jì）算（suàn）机诈骗（piàn）、间谍、蓄意破坏、火灾、水灾等（děng）大范（fàn）围的安全威胁（xié），诸如（rú）计算机病（bìng）毒、计算机入侵、 Dos 攻击等手（shǒu）段造成的信息灾难已变得更加普遍 , 有计划而不易被（bèi）察觉。组织对信（xìn）息系（xì）统和（hé）信息服务的依赖意味着更易受到安（ān）全威胁的（de）破坏，公共（gòng）和私人网络（luò）的互连及（jí）信息资源的（de）共享增大了实（shí）现访问控（kòng）制的难度。许多信息系统（tǒng）本（běn）身就不是（shì）按照安（ān）全系统（tǒng）的要求来设计的，所（suǒ）以（yǐ）仅（jǐn）依靠（kào）技术手（shǒu）段（duàn）来实现（xiàn）信息安全有（yǒu）其局限性，所以（yǐ）信息安全的实现须得到管理和程序（xù）控制（zhì）的适（shì）当支持（chí）。确（què）定应采（cǎi）取哪些控制方式则需（xū）要周密计划，并注意细（xì）节（jiē）。信息安全管理（lǐ）至少需要组织中的所有雇员的参（cān）与，此（cǐ）外还需要供应商（shāng）、顾客或股东的参与和信息（xī）安全的专家建议。在信息系统设（shè）计阶段（duàn）就将安全要求和控制一体化（huà）考虑，则成本会（huì）更低、效率会更高。

 BS7799的信息管（guǎn）理过程：

①确定信息安全管理方针。

②确定 ISMS( 信息安全管理体（tǐ）系（xì）) 的（de）范围

③进行风险分析（xī）。

④选择（zé）控制目标并进行控（kòng）制。

⑤建（jiàn）立（lì）业务持（chí）续计划。

⑥建立并实施安全（quán）管（guǎn）理体系。

 建立信息（xī）安全（quán）管理体系（xì）的（de）作用：

 任何组织，不论它在信息技术（shù）方面如（rú）何努（nǔ）力以及（jí）采（cǎi）纳如（rú）何新的信息（xī）安全技（jì）术（shù），实（shí）际上在信息安全管理方面都（dōu）还存在漏洞，例（lì）如（rú）：

· 缺少信息（xī）安全管理论坛，安全导向不明确，管理（lǐ）支持不明（míng）显； 

· 缺少跨（kuà）部门的信（xìn）息（xī）安（ān）全协（xié）调机制； 

· 保护特（tè）定资产以及完成特定安（ān）全过（guò）程的职责还不明确； 

· 雇员信息安（ān）全（quán）意识薄弱，缺少防范（fàn）意识，外来人员很（hěn）容易直接进入（rù）生产和工作场所； 

· 组（zǔ）织信息系统（tǒng）管理制度不够健全； 

· 组织信息系统主机房（fáng）安全存在隐患（huàn），如：防（fáng）火设（shè）施（shī）存在问（wèn）题，与危（wēi）险品仓（cāng）库同处一幢办公楼等； 

· 组织信息系统备份设备仍有欠（qiàn）缺； 

· 组（zǔ）织信息系统安（ān）全防（fáng）范技术（shù）投入欠（qiàn）缺； 

· 软件知识产权保（bǎo）护欠缺； 

· 计算机房、办公场（chǎng）所等（děng）物理防范措施欠缺； 

· 档案、记录等缺少可靠贮存场所； 

· 缺（quē）少（shǎo）一旦发生意外（wài）时的保证生（shēng）产经（jīng）营连续性的措施和计划； 

        ……等等。

为（wéi）什么要建立和实施ISO27001信（xìn）息安（ān）全管理体系认证（2）

其实，组织可以参照（zhào）信息安全管（guǎn）理（lǐ）模型，按照先进（jìn）的信息安（ān）全管理标准 BS7799 标准建立组织（zhī）完整的信息安全管理（lǐ）体系并（bìng）实施（shī）与（yǔ）保持，达到动态的、系（xì）统的、全员参（cān）与、制（zhì）度（dù）化的（de）、以预防（fáng）为主的信息安全管（guǎn）理（lǐ）方（fāng）式，用（yòng）较低的成本，达到可（kě）接受的信息安全水平，就可以从根本上保证业务的（de）连续性。组织建立、实施与（yǔ）保（bǎo）持（chí）信息安全管理体系将会产生（shēng）如下作（zuò）用（yòng）：

· 强化员工的信息安全意识，规范组（zǔ）织信息安全行为； 

· 对组织的关键信息资产进行全面系统的保护，维持（chí）竞争优势； 

· 在信息系统受到侵（qīn）袭时，确保业务持（chí）续开展（zhǎn）并将损失降到较低程度； 

· 使组织的生意伙（huǒ）伴和客户对（duì）组织（zhī）充满（mǎn）信心； 

· 如果通过体系认证，表明体系符合标准，证明组织有（yǒu）能力保障重要信息（xī），提（tí）高组织的（de）名度与信（xìn）任度（dù）； 

· 促使管理层坚持贯彻（chè）信息安（ān）全保障体系。 

BS7799标准概述：

· 1995 年，英国贸工部根据（jù）英国国（guó）内企业对信息安全日（rì）益高涨的呼声，组织大（dà）企业的信（xìn）息安全经理们（men），制定了（le）世界上第一（yī）个信息安全（quán）管理（lǐ）体系标准 BS7799-1 ： 1995 《信息安全管理（lǐ）实施规则（zé）》，作（zuò）为工（gōng）商业（yè）和大、中、小型组（zǔ）织实施（shī）信息安（ān）全管理的指南（nán）。由于（yú）该标（biāo）准采用建议和（hé）指（zhǐ）导方（fāng）式编写，因而不宜作为（wéi）认证标准使用（yòng）。 

· 1998 年，为了适（shì）应第三方（fāng）认（rèn）证的需要，英国（guó）又制定了第一个（gè）信息安（ān）全管理体系认证标准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作（zuò）为对（duì）一个组织的全（quán）部或部分信息安全管理体系进行评审认证的依据标准。 

· 1999 年，鉴于计算机和信息（xī）处（chù）理技术，尤（yóu）其是网络（luò）和通信领域应用的迅速发展，英国又对（duì）信息安（ān）全（quán）管理（lǐ）体（tǐ）系标准（zhǔn）进行了修订（dìng）。修订（dìng）后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取（qǔ）代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新（xīn）修订的 1999 版标准进一步强调了组织在商务工作中所涉及的信息安（ān）全和信息安全（quán）责任（rèn）。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配（pèi）套标准， BS7799-1 ： 1999 为如何建立和实施符合 BS7799-2 ： 1999 标准要求的信息安全管理体系（xì）提（tí）供了较佳的（de）应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式（shì）采纳成为国际（jì）标（biāo）准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技术—信息安全管理（lǐ）实施规则》，另外（wài）， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为（wéi）蓝本修订后（hòu）成为可用于（yú）认证的 ISO/IEC 的（de）《信息（xī）安全（quán）管理（lǐ）体（tǐ）系规范》。 

信息安（ān）全认证是实现信息（xī）安（ān）全目（mù）标的（de）较佳途（tú）径：

BS7799-2：2002信息安（ān）全管理（lǐ）体系规范向组织提出了一系（xì）列认证（zhèng）的要求，在（zài）总则中提出组（zǔ）织应建立并保持一个（gè）文件化的（de）信息安全管（guǎn）理体系，阐述被保护的（de）资产（chǎn）、组织风（fēng）险管理的渠道（dào）、控制目标及（jí）控（kòng）制方式和需要的保证等级；通过建立（lì）管理架（jià）构并加以实施来达到识（shí）别控制（zhì）目（mù）标（biāo）和控制（zhì）方式，并形成文件和记录。

BS7799-2：2002的控制细则包括10个（gè）方面： 　

· 安全方针：为（wéi）信息安全提供管理指导（dǎo）和（hé）支持（chí）； 

· 组织安（ān）全：建立信（xìn）息安全架构，保证组（zǔ）织（zhī）的（de）内部管理；被第三方（fāng）访问或（huò）外协时，保障组织（zhī）的信息安（ān）全； 

· 资产的（de）归类与（yǔ）控制：明确资产责任，保持对组织资（zī）产的适当保护；将信息（xī）进行归类，确保信息资产（chǎn）受（shòu）到适当程度的保护； 

· 人员（yuán）安全：在工作说明和资源方面，减（jiǎn）少因人为错（cuò）误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保（bǎo）用户清（qīng）楚知（zhī）道信息安全（quán）的危险性和相关事项（xiàng），以便在他们（men）的日常工作中支持（chí）组（zǔ）织的安全方针；制（zhì）定安全（quán）事（shì）故或故障的反应程序，减少由安全事故和故障造（zào）成的损失，监控安（ān）全事件并（bìng）从这种事件中吸取教训； 

· 实物与环（huán）境（jìng）安全：确定安全区域，防止非授权访问、破坏、干扰商务场（chǎng）所和信息（xī）；通（tōng）过保障设备安全（quán），防止（zhǐ）资产的丢失、破坏（huài）、资产危害及商务（wù）活（huó）动的中（zhōng）断；采（cǎi）用通用的控制方式，防止信息或信息处（chù）理设施损坏或失窃； 

· 通信和操（cāo）作方式管理：明确操（cāo）作程序及（jí）其（qí）责任，确（què）保信（xìn）息处理设施的正确、安全操作；加强系统策划与验收（shōu），减少系统失效风险；防（fáng）范恶意软件以保（bǎo）持软件和信息（xī）的完（wán）整性；加强内务管理以保持信息处理和通讯（xùn）服务的完整性和有效性通过（guò） ; 加强网络管理确保网络中的信息安全及（jí）其辅助设施受到保护；通过保护（hù）媒（méi）体处理的安全 , 防止资产损坏和商（shāng）务活动的中（zhōng）断；加强（qiáng）信（xìn）息和软件的（de）交换（huàn）的管理（lǐ），防止组织间在（zài）交换信（xìn）息时发生丢失（shī）、更改和误用（yòng）； 

· 访问控制：按照访问（wèn）控制的商务要求，控制信息访问；加强用（yòng）户访（fǎng）问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强（qiáng）网络访（fǎng）问控制，保护（hù）网络服务程（chéng）序；加强操作系统访（fǎng）问控制 , 防（fáng）止非授（shòu）权的计算机访（fǎng）问；加强应用访问控制，防止（zhǐ）非授权访问系统（tǒng）中的信（xìn）息；通过监控系（xì）统的访问与使用，监测非授（shòu）权行为（wéi）；在移（yí）动式（shì）计算（suàn）和电传工作方面 , 确保使用移动式计算和电传工作（zuò）设施的信息安全； 

· 系统开发与（yǔ）维（wéi）护：明确系统安全要（yào）求，确保（bǎo）安全性已构成信息系统的一部份；加（jiā）强应用系统的安全，防止应用系统用户数据的丢失、被修改或（huò）误用；加强密码技术（shù）控（kòng）制，保护信（xìn）息（xī）的保（bǎo）密性、可靠（kào）性或（huò）完整性；加强系统文件的安全，确保 IT 方案及（jí）其支（zhī）持活动以安全的（de）方式进行；加强开发和支持过程（chéng）的安全，确保应用系统软件和（hé）信息的安全； 

· 商务连续（xù）性管（guǎn）理（lǐ）：防止商务活动的中断（duàn）及保护关键商务（wù）过程（chéng）不受重大失误或灾难事故的影响； 

· 符合：符合法律法规要（yào）求，避免刑法、民法、有关法（fǎ）令法规或合同（tóng）约定事宜及（jí）其（qí）他（tā）安全要求（qiú）的（de）规定相抵触；加强（qiáng）安全（quán）方针和技术符合性评审，确保体（tǐ）系按照组织的安（ān）全方针及标（biāo）准执行；系（xì）统审核考虑因素，使效果较大化 , 并使系统（tǒng）审（shěn）核过程（chéng）的影响较小（xiǎo）化。 　 

在国（guó）际标准 ISO/IEC17799 给出（chū）了为实现信息（xī）安全认证所需的各项措施的详细指导，具（jù）有很强的可（kě）操作（zuò）性和指导（dǎo）性。

归根结底（dǐ），信息安全（quán）工作（zuò）的目的就是（shì）在法律、法（fǎ）规、政策（cè）的支持与指导下，通（tōng）过（guò）采用合适的安全技（jì）术与安全管理措施，提（tí）供安全需求的保证，而 BS7799 信息安全认证标（biāo）准正（zhèng）是总（zǒng）和了这（zhè）些（xiē）要（yào）求（qiú）。组织可以根据自身（shēn）特点（diǎn），在 ISO/IEC 17799 指导下，实现信息（xī）安全的要求（qiú）。

 ISO27001：2005 《信息安全管理体（tǐ）系要求（qiú）》

 ISO27001 ： 2005 《信（xìn）息安全（quán）管理体（tǐ）系要求》是关于（yú）信息安全（quán）管理的标准，是标准不是方法，达到这（zhè）些标准的要（yào）求并不难，重要的是用什么（me）方（fāng）法去实现。企（qǐ）业应将实施标准作为改善（shàn）内（nèi）部管理的一次机会，不（bú）应该将标准做（zuò）为一种简（jiǎn）单的模式对现（xiàn）有流程运作（zuò）进行套用，应对现有的组织运作流程进行详（xiáng）细分（fèn）析，有（yǒu）针（zhēn）对性地设计并改善现有管理体系、改（gǎi）善薄弱环节、改善运作流程及（jí）内部沟通，并有效地将先进的管理（lǐ）思想（xiǎng）融合到（dào）具体的实施程序中，才能发挥标（biāo）准的真正作用。

获得认证证书不是较终目的，建立有责（zé）、有（yǒu）序、有效的信息安全管（guǎn）理体系，提高员工（gōng）的信息（xī）安全（quán）意识（shí），不断获取并运用先进（jìn）的管理方法和技术手段才能使（shǐ）企业的信息（xī）安全管（guǎn）理水平得以持续的发展和提升。