信（xìn）息安全 (Information security): 是指信息的（de）保密性 (Confidentiality) 、完整（zhěng）性 (Integrity) 和可用性（xìng） (Availability) 的（de）保持（chí）。

•  保密（mì）性（xìng）：为保障信息仅仅为那些被授权（quán）使用的人获（huò）取。

 信息的保密（mì）性是针（zhēn）对信息被允许访问（wèn）（ Access ）对象的（de）多少而不同，所有人员都可以访问的信息为（wéi）公开信息，需（xū）要限（xiàn）制访问的信息一般（bān）为敏感（gǎn）信息或秘密，秘密可以根（gēn）据信息的重要性及保密（mì）要求分为不（bú）同的密级，例如国家根据秘密泄（xiè）露对（duì）国家经（jīng）济、安全利益产生的影响（后果）不同（tóng），将国（guó）家（jiā）秘密（mì）分为秘（mì）密、机密和绝密三个（gè）等（děng）级，组织可根据其信息安（ān）全（quán）的（de）实际（jì），在符合《国家（jiā）保密（mì）法》的前提下将其信息划分为不同的密级；对于具（jù）体的（de）信息的保密性有时效性，如秘密到期解密等。

 •  完整性：为保护信息（xī）及其处理方法的准确性和完整性（xìng）。

信息完整性一方面是指信息（xī）在利用、传输（shū）、贮存等过程中不被篡改、丢失、缺损等（děng），另一（yī）方面是指信（xìn）息处理（lǐ）的方法的正确性。不正当的操作，如（rú）误删除文件，有（yǒu）可能造成重要文件（jiàn）的丢失。

 •  可用（yòng）性：为保障授（shòu）权使用人在需要（yào）时可以获取信息（xī）和使用相关（guān）的资产（chǎn）。

信息的可用性（xìng）是指信息及相关的信息资（zī）产在授权人需（xū）要（yào）的时候，可以立（lì）即获得。例如通（tōng）信线路中断故障会造成信息的在一段时间内不可（kě）用，影（yǐng）响正常的商业运作，这是信息可（kě）用性的（de）破坏。不（bú）同类型的信息及相应资产的信息安全（quán）在保（bǎo）密性、完整性及可用性方面关（guān）注点不同，如组（zǔ）织（zhī）的专有技术（shù）、市场营销（xiāo）计（jì）划（huá）等商业秘密对组（zǔ）织来讲保守机（jī）密尤其重要；而对（duì）于工业自动控（kòng）制系统，控制信（xìn）息的完（wán）整性相对（duì）其保密性重（chóng）要得（dé）多（duō）。

为什么需要信息安全？

信息、信息处理过程及对信息起支持作用的信息系统和信息网络都（dōu）是重（chóng）要的商（shāng）务资产。信（xìn）息的保密（mì）性、完整性和可用性（xìng）对保持（chí）竞争优势、资金流动、效益、法律符合性和商业形象都（dōu）是（shì）至关重要的。然而，越来越多的组织及其（qí）信息系统和网络面（miàn）临（lín）着包（bāo）括（kuò）计算机诈骗、间（jiān）谍、蓄意破坏、火灾、水灾等大范（fàn）围的安全威胁，诸如计算机（jī）病毒、计算机入侵、 Dos 攻击等手段造成的信息（xī）灾难已变得更加普遍 , 有计划而（ér）不（bú）易被察觉。组织对信息系统和信息服务的依赖意味着更易（yì）受到安（ān）全威胁的破坏，公（gōng）共和私（sī）人网络的（de）互连及信息资源的共享增大了实现访问控制的难度。许多（duō）信（xìn）息系统（tǒng）本身就（jiù）不是按照（zhào）安全系统的（de）要求来设计的，所以仅依靠技术手段来（lái）实现（xiàn）信息（xī）安全（quán）有其局限性，所以信（xìn）息安全的实现须得（dé）到管（guǎn）理和程序控制（zhì）的适当（dāng）支持（chí）。确（què）定应采取哪些控制方式则需要周（zhōu）密计划，并（bìng）注意细节。信（xìn）息安全管理（lǐ）至（zhì）少需要（yào）组织中的所有雇员的参与，此外还需要供（gòng）应商、顾（gù）客或股东（dōng）的参（cān）与（yǔ）和信息安全的专家建议。在信息系统设计阶段（duàn）就将安全要求和（hé）控制一（yī）体（tǐ）化考（kǎo）虑，则成本会更低、效率会更高。

 BS7799的信（xìn）息管理过程：

①确（què）定（dìng）信息安全管（guǎn）理方针。

②确（què）定（dìng） ISMS( 信息安全管（guǎn）理体系) 的范围（wéi）

③进（jìn）行风险分析。

④选择控制（zhì）目标并进行控制。

⑤建（jiàn）立业务持续计（jì）划。

⑥建立并实施安全管理体系。

 建立信息安全（quán）管（guǎn）理（lǐ）体系的作用：

 任何组织，不（bú）论它在信息技（jì）术方面如何（hé）努力以及（jí）采（cǎi）纳如何新的信息安全技术，实际（jì）上（shàng）在信息安（ān）全（quán）管（guǎn）理方（fāng）面都还存（cún）在漏洞，例如：

· 缺少信息安全管（guǎn）理论坛，安全导向不明（míng）确，管理支持不明显； 

· 缺少跨部（bù）门的信息安全协调机（jī）制； 

· 保（bǎo）护特（tè）定资产以（yǐ）及完成特定（dìng）安全过程（chéng）的职责（zé）还不明确（què）； 

· 雇（gù）员信息安全（quán）意识薄弱，缺少（shǎo）防（fáng）范意（yì）识（shí），外（wài）来人员很容易直接进入生产和（hé）工作场（chǎng）所； 

· 组织信息系统管（guǎn）理制（zhì）度不够健全； 

· 组织信息系统主机房安全存在隐患，如：防（fáng）火设施存在（zài）问题，与危险（xiǎn）品仓库（kù）同处一幢办公楼等； 

· 组织信息系（xì）统（tǒng）备份设备仍有欠缺（quē）； 

· 组织（zhī）信息（xī）系统安全防范技术投入欠缺； 

· 软件知（zhī）识产权保（bǎo）护欠缺； 

· 计算机房（fáng）、办（bàn）公场所等物理防范措（cuò）施欠缺（quē）； 

· 档案、记录等缺少可靠贮存场所； 

· 缺少一旦发生意外时的保证生（shēng）产（chǎn）经营（yíng）连续性的措施和计划； 

        ……等等。

为什么要（yào）建立和实施ISO27001信息安全管理体系认证（zhèng）（2）

其实，组织可以参照信息安全管理模型，按照先（xiān）进的信息安全管（guǎn）理标准（zhǔn） BS7799 标准（zhǔn）建（jiàn）立组织完整（zhěng）的信息安全管理体系并实（shí）施与保（bǎo）持（chí），达到动态的、系统的、全员参与（yǔ）、制度化的、以预防（fáng）为主的信息安（ān）全管理方式，用较低的（de）成本，达到可接（jiē）受的信息安（ān）全水平（píng），就（jiù）可以从根（gēn）本上保证业务的连续（xù）性。组织建立、实施与保持信息安全管理体系将会产生如下作用：

· 强化员工（gōng）的（de）信息安全意（yì）识（shí），规范组织信息安全行为（wéi）； 

· 对组（zǔ）织的关键信息（xī）资产进行全面系统的（de）保护，维（wéi）持竞争优（yōu）势； 

· 在（zài）信息（xī）系统受到侵袭时，确保业务持续（xù）开展并将损失降到较低程度； 

· 使组（zǔ）织的生意伙伴和客（kè）户对组（zǔ）织充满信心； 

· 如果（guǒ）通过体系（xì）认（rèn）证，表明体系符合标（biāo）准，证明组织有（yǒu）能力保障（zhàng）重要信息，提高组织的名度与信任度； 

· 促使管理层坚持贯彻信息安全保障体系（xì）。 

BS7799标（biāo）准概述（shù）：

· 1995 年（nián），英国（guó）贸工部根据英国国内企业（yè）对信息（xī）安全日益高涨的（de）呼声（shēng），组织大企业（yè）的信息（xī）安全经理们，制定了世界上第（dì）一个信息安全管理体系（xì）标准 BS7799-1 ： 1995 《信息安全管理实施规则（zé）》，作为工商业和大、中、小（xiǎo）型（xíng）组织实（shí）施信息（xī）安（ān）全管理的（de）指南。由（yóu）于该（gāi）标准采（cǎi）用建议和（hé）指导方式编写（xiě），因而不宜作（zuò）为认证标准使用。 

· 1998 年，为了适应第三方认证的需要，英国（guó）又制定了（le）第一（yī）个信息安（ān）全管理（lǐ）体系认证标准 --BS7799-2 ： 1998 《信息安（ān）全管理体系规范》，作（zuò）为对一个组织的全部或部分信息安（ān）全（quán）管理体系进行评审（shěn）认（rèn）证的（de）依据标准。 

· 1999 年，鉴于（yú）计（jì）算机和信息处理技术，尤（yóu）其是网（wǎng）络（luò）和通（tōng）信领域应用的迅速发展，英国又对信息安（ān）全管理体系标准进行了修订。修订（dìng）后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别（bié）取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调了组织（zhī）在商务工作中所涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套（tào）标准， BS7799-1 ： 1999 为如何（hé）建立和实（shí）施符合 BS7799-2 ： 1999 标准（zhǔn）要（yào）求的（de）信息安（ān）全管理体系提供了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经（jīng）被 ISO/IEC 正（zhèng）式采（cǎi）纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技术—信息安（ān）全管理（lǐ）实施规则》，另（lìng）外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本修订后成为（wéi）可用于认证的 ISO/IEC 的《信（xìn）息安全管理体系规范》。 

信息安（ān）全（quán）认（rèn）证是实现信息安全目标的较佳途径：

BS7799-2：2002信息安全管理体系（xì）规范向组织（zhī）提出了一系（xì）列认证的要求（qiú），在总则中提出组织应建立并保持一（yī）个文件（jiàn）化的信息安（ān）全管理体系（xì），阐述被保护的（de）资（zī）产、组（zǔ）织风险管理的渠道、控制目标及控制方式和需要的保证等级；通过建立管理架构（gòu）并加以实施（shī）来达到识别（bié）控制目（mù）标（biāo）和控制方式（shì），并形（xíng）成（chéng）文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针：为信息（xī）安全提供管理指导和支持； 

· 组织安全：建立信息安全架构，保（bǎo）证（zhèng）组织的内部（bù）管（guǎn）理（lǐ）；被第三方（fāng）访问（wèn）或（huò）外协（xié）时，保障组织的信息（xī）安全； 

· 资产（chǎn）的归类与控制（zhì）：明确（què）资产责任，保持对组（zǔ）织资产（chǎn）的适当保护；将信息（xī）进行（háng）归类，确保信息资产受到适当程度的保护； 

· 人员安（ān）全（quán）：在工作说（shuō）明和资源（yuán）方面，减少因人（rén）为错（cuò）误、盗窃、欺诈和（hé）设施误用造（zào）成的风险；加（jiā）强（qiáng）用户培训，确保用户清（qīng）楚知道（dào）信（xìn）息（xī）安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针；制定（dìng）安（ān）全事（shì）故（gù）或（huò）故障的反应程序，减（jiǎn）少由安全事（shì）故和故（gù）障造（zào）成的损失，监控安全事件并（bìng）从这种（zhǒng）事件中吸取教训； 

· 实物与环境（jìng）安（ān）全：确定安（ān）全区域（yù），防止非授权（quán）访问、破坏、干扰商务场所和信息；通过保（bǎo）障（zhàng）设备安（ān）全，防止资产的丢失、破坏、资产危害及商（shāng）务（wù）活动的中（zhōng）断；采用通用的控制方式，防（fáng）止信息或信息处理（lǐ）设施损（sǔn）坏或失窃（qiè）； 

· 通（tōng）信（xìn）和操作方式管理：明（míng）确操作程序（xù）及其责任，确（què）保信息处理设施的正确、安全操作；加强系统策划与验（yàn）收，减少（shǎo）系统失效风险；防范恶意软（ruǎn）件以（yǐ）保持软件和信息的（de）完整性（xìng）；加强内务管理以保持信（xìn）息处（chù）理和通讯服务（wù）的（de）完整性和有效性通过 ; 加强网络管理确保网络中（zhōng）的信息（xī）安全及（jí）其辅助设施受到保护；通过保护媒体处理的安全 , 防（fáng）止资产损（sǔn）坏（huài）和商务活动（dòng）的中（zhōng）断；加强信息和软件的交换的管（guǎn）理，防止组织间在交（jiāo）换信息时发生丢失、更改和（hé）误用； 

· 访问（wèn）控（kòng）制：按照访问控制（zhì）的商务要（yào）求，控制信息访问；加强用户访问管理，防（fáng）止非授权（quán）访（fǎng）问信息系统（tǒng）；明确用户（hù）职（zhí）责（zé），防止非授权的用户访（fǎng）问；加强网络访（fǎng）问控制，保（bǎo）护（hù）网络服务程序；加（jiā）强操作系统访问控制 , 防止非授权的计（jì）算机访问；加强应用访问（wèn）控制，防止（zhǐ）非授权（quán）访问（wèn）系统中的信息；通过监控系统的（de）访问与（yǔ）使（shǐ）用，监（jiān）测非（fēi）授权行为；在移动式计算和（hé）电传工（gōng）作方面 , 确保使用移动式计算和（hé）电传工作设（shè）施的信息安全； 

· 系统（tǒng）开发与维护：明确系统（tǒng）安全要求，确保安全性已构成（chéng）信息系统（tǒng）的一部份；加强（qiáng）应（yīng）用（yòng）系统的安全，防止应用系统用户（hù）数据的丢失、被修改或误用；加强密码技术控（kòng）制，保护信（xìn）息的保密（mì）性、可靠（kào）性或（huò）完整性；加强系统文件的安全，确保 IT 方案及其（qí）支持（chí）活动以安全的方式进行（háng）；加强（qiáng）开（kāi）发和支持（chí）过程的安全，确（què）保应用系统软件和信息的安全； 

· 商务连（lián）续性管理：防止商务活动（dòng）的（de）中断及保护关键商务过程不（bú）受重大失误或灾难事（shì）故（gù）的影响； 

· 符合（hé）：符合法律法规要求，避免刑法、民法（fǎ）、有关法令法规或合同约定事宜（yí）及其他安全要（yào）求的规（guī）定相抵触；加强安全方针和技（jì）术符合性评审，确（què）保体系（xì）按照组织的（de）安全方针及标准执行；系（xì）统审（shěn）核考（kǎo）虑因（yīn）素（sù），使效果（guǒ）较大化 , 并使系统审核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给（gěi）出了（le）为实现信息安全认证所需的各项措施的详细指导（dǎo），具有很强的可操作性和指导性。

归根结底，信息安全工作（zuò）的目的（de）就是在（zài）法（fǎ）律、法规（guī）、政策的支持（chí）与指导下，通（tōng）过（guò）采用合适（shì）的（de）安（ān）全技术与安全（quán）管理措（cuò）施，提供安（ān）全需求的（de）保证，而（ér） BS7799 信息安全认证标准正是总（zǒng）和（hé）了这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实（shí）现信息安（ān）全的（de）要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息（xī）安全管（guǎn）理体（tǐ）系要求》是关于（yú）信息安全管理（lǐ）的标准，是标准不是方法，达到这些标准的要求并不（bú）难，重（chóng）要的是用（yòng）什么方（fāng）法去（qù）实现。企业应将实（shí）施标（biāo）准作为（wéi）改善内部管理的一次机会，不（bú）应该将标准（zhǔn）做为一种简单的模（mó）式对现（xiàn）有流程运作进行套用，应对现有的组织运作流程进行详细分（fèn）析（xī），有（yǒu）针对性（xìng）地设计并改善现有管理体系、改善薄弱（ruò）环节、改善运作流程及内部沟通，并有效（xiào）地将先进的管理（lǐ）思想融合到具体的实施程（chéng）序中（zhōng），才能发挥标准的真正作用。

获得认证证（zhèng）书（shū）不（bú）是较（jiào）终目的，建（jiàn）立有（yǒu）责、有序（xù）、有效的信（xìn）息（xī）安（ān）全管理体系，提高员（yuán）工（gōng）的信息安全意识，不断获取并（bìng）运（yùn）用先进的管理方法和技术手（shǒu）段才（cái）能（néng）使企（qǐ）业的信息安（ān）全管理水平得（dé）以持续（xù）的发展和提升。