信息安全（quán） (Information security): 是指信息的保（bǎo）密性 (Confidentiality) 、完整性 (Integrity) 和可用性（xìng） (Availability) 的保持。

•  保密性：为保障信息仅仅为（wéi）那些（xiē）被授权使用的人获取。

 信息的（de）保（bǎo）密（mì）性是针对（duì）信息被允许访问（ Access ）对象的（de）多少而不同，所有人员都可以访（fǎng）问的信息为公开信息，需要限制访问的信息一般（bān）为敏感信息或（huò）秘密（mì），秘（mì）密可以根据信息的重要性（xìng）及保密要求分为不同（tóng）的（de）密级，例如国（guó）家根据秘（mì）密（mì）泄露对国（guó）家经济、安全（quán）利益产生的（de）影（yǐng）响（后果）不同，将国（guó）家（jiā）秘密分为秘密、机密和绝密三个等级，组织可根据其信息安全的实际，在（zài）符合（hé）《国家保密法》的前提（tí）下将其信（xìn）息（xī）划分为不同的密级；对于具体的（de）信（xìn）息的保密性有时效性，如（rú）秘密到期解密等。

 •  完整性（xìng）：为保护（hù）信息及其处（chù）理方法的准确性（xìng）和完整性。

信息完整性一方面（miàn）是指信息在利用、传输（shū）、贮存等过（guò）程中不被篡改、丢失、缺损等（děng），另一方面是指信息（xī）处理（lǐ）的方（fāng）法的正确性。不正当的操作，如误删（shān）除文件，有可能造（zào）成重要文（wén）件的丢失。

 •  可用（yòng）性：为保障（zhàng）授权（quán）使用人在需要时可以（yǐ）获取信息和使用相关（guān）的资产。

信（xìn）息的可用性是指信息及相关的信（xìn）息（xī）资产在授权人需要的时（shí）候，可（kě）以立即获得。例如通信线路中断故障会造成信（xìn）息（xī）的在一（yī）段时间内不可用，影响正常的商业运作（zuò），这是信息可用（yòng）性（xìng）的破（pò）坏。不（bú）同类型的信息及相应资产的（de）信息安全（quán）在保密性、完（wán）整（zhěng）性及可用性方面关注点不同，如组织的专有技（jì）术（shù）、市场（chǎng）营销计划等商（shāng）业秘密对组织来讲保守机密（mì）尤其重要（yào）；而对（duì）于工业自（zì）动（dòng）控制系统，控制信息的完整性相对其（qí）保密（mì）性重要（yào）得多。

为什么（me）需要信息安全？

信息、信息处理过程（chéng）及对信息（xī）起支持作用的信息系统和信息（xī）网络都是重（chóng）要的商务（wù）资产。信（xìn）息的保密性、完（wán）整性和可（kě）用（yòng）性对保持竞争优势、资金流动、效益、法律符合性（xìng）和（hé）商业（yè）形象都是至关重要的。然而，越来越（yuè）多的组（zǔ）织（zhī）及其信息系（xì）统和网（wǎng）络面临着包括计算机诈（zhà）骗、间谍、蓄意破（pò）坏、火灾、水灾等大范围的安全（quán）威胁，诸如计算机病（bìng）毒、计算机（jī）入侵（qīn）、 Dos 攻（gōng）击（jī）等手段造成的（de）信息灾难已变得更加普（pǔ）遍 , 有（yǒu）计划而不易被察觉。组织对信息系统和信息服务的依赖意（yì）味着更（gèng）易受到（dào）安全威胁的破坏，公共和私人网络的（de）互连（lián）及（jí）信息资源的（de）共享增大了实现（xiàn）访问控（kòng）制的难度。许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全（quán）有其局限性，所以（yǐ）信息安全的实现须得（dé）到（dào）管理和程序控制（zhì）的适当支持。确（què）定应（yīng）采取哪些控制方式则需要周（zhōu）密计划，并注意细节。信（xìn）息安全（quán）管理（lǐ）至（zhì）少（shǎo）需要（yào）组织中的（de）所有雇员的参与，此外（wài）还需要供（gòng）应商、顾（gù）客或股东（dōng）的参与和信息（xī）安全（quán）的专家建议。在信息（xī）系统设（shè）计阶段就（jiù）将安（ān）全要求和控制一体化考（kǎo）虑（lǜ），则成本（běn）会更（gèng）低（dī）、效率会更高。

 BS7799的信息管理过程：

①确定信息安全管（guǎn）理方针。

②确定 ISMS( 信息安（ān）全管理体系) 的范围

③进（jìn）行风险分析（xī）。

④选择控制目标并（bìng）进行控制。

⑤建立业务持续计划。

⑥建（jiàn）立（lì）并实（shí）施（shī）安全管理体（tǐ）系（xì）。

 建立信息安全管理体系的作（zuò）用：

 任何组织（zhī），不论它在信息技术方面如何努力以及采纳如（rú）何新的（de）信息安全技术，实际上在信息安（ān）全管理（lǐ）方面（miàn）都还存在漏洞，例如（rú）：

· 缺少信息安全管理论坛，安全导向不明确，管理支持不（bú）明（míng）显； 

· 缺少跨部门的信息安全协调机制； 

· 保护特（tè）定资产以及完成特（tè）定安全过程的（de）职责还不明确； 

· 雇员信息安全（quán）意识薄弱（ruò），缺少防范意识，外来人员很容（róng）易直（zhí）接进（jìn）入生产和（hé）工作场所； 

· 组织信息系统管理制度不够健全； 

· 组织信息系统主机房安全存在隐（yǐn）患，如：防火设（shè）施存在问题，与危险品仓库同处（chù）一幢办公（gōng）楼等（děng）； 

· 组织信息系统备份设（shè）备仍有欠缺； 

· 组织信息系统（tǒng）安全防范技术投（tóu）入欠（qiàn）缺； 

· 软（ruǎn）件知识产（chǎn）权保护欠缺； 

· 计（jì）算机（jī）房、办公（gōng）场所等物理防范（fàn）措施（shī）欠缺（quē）； 

· 档（dàng）案、记录等缺少可靠贮（zhù）存（cún）场所（suǒ）； 

· 缺（quē）少一旦（dàn）发生意外时的保证生产经营连续（xù）性的措施和计划（huá）； 

        ……等等。

为（wéi）什么要建立（lì）和实施ISO27001信息安全管理体系认证（2）

其实（shí），组织可以参照（zhào）信息安（ān）全管理（lǐ）模（mó）型，按（àn）照先进的信息安全管理标准 BS7799 标（biāo）准建立（lì）组织完整（zhěng）的信息安（ān）全管理体系并实施与保持，达到动态（tài）的（de）、系统的、全员参（cān）与、制度化的、以预防（fáng）为主（zhǔ）的信息安全管理方式（shì），用较低的成本，达（dá）到（dào）可接受的信息安全水（shuǐ）平，就（jiù）可以从根本上保证业务的（de）连续性。组织建立、实施与保持（chí）信息安（ān）全管理体系（xì）将会产生（shēng）如（rú）下作用（yòng）：

· 强（qiáng）化（huà）员工的（de）信息安全意识，规（guī）范组织信息（xī）安全行为； 

· 对组（zǔ）织的（de）关键（jiàn）信息资（zī）产进行（háng）全面系统的保护，维持竞争优势； 

· 在信息系统受到侵袭（xí）时，确保业务持续开展并将损失降到较低程度； 

· 使组织的生意伙伴和客户（hù）对组（zǔ）织（zhī）充满信心； 

· 如果通过（guò）体（tǐ）系认（rèn）证，表明（míng）体系符合标准，证明（míng）组织有能力保障（zhàng）重要信息，提高组织的（de）名度（dù）与信任度； 

· 促使管理层坚持贯彻信息（xī）安（ān）全保障体系（xì）。 

BS7799标准概述：

· 1995 年，英国贸工（gōng）部根（gēn）据英国国内企业对信息安全（quán）日益高涨的呼声（shēng），组织大企业的信息安全经理们，制定了世界（jiè）上第一（yī）个信息安全管理体（tǐ）系（xì）标（biāo）准 BS7799-1 ： 1995 《信息安（ān）全管理（lǐ）实施规则》，作为（wéi）工（gōng）商业（yè）和大、中、小（xiǎo）型（xíng）组织实（shí）施信息安全管理（lǐ）的指南。由于该标准采用建议和指导方（fāng）式编写，因而不宜作为认（rèn）证标准（zhǔn）使用。 

· 1998 年，为了适应第三方（fāng）认（rèn）证的需要（yào），英国又制（zhì）定了第一个信息（xī）安全管理体（tǐ）系认证标（biāo）准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作为对一个组织的（de）全（quán）部或部分信息安（ān）全管理体系进行（háng）评审（shěn）认（rèn）证的依（yī）据标准（zhǔn）。 

· 1999 年（nián），鉴于计算机和信息处理技术，尤其是网（wǎng）络和通信（xìn）领域（yù）应用的（de）迅速发展，英国又对（duì）信息安全管理体系标准（zhǔn）进行了修订（dìng）。修（xiū）订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修订的 1999 版（bǎn）标准进（jìn）一步强调了组织在商务工作（zuò）中所涉及的信息安全和信息安（ān）全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何（hé）建（jiàn）立和实施符合 BS7799-2 ： 1999 标准要求的信息安全管理体系提（tí）供了较佳的应用建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已（yǐ）经（jīng）被 ISO/IEC 正式采纳成为（wéi）国际标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技术—信息（xī）安全管理（lǐ）实施规（guī）则》，另（lìng）外（wài）， BS7799-2 ： 1999 也（yě）即将于 2002 年底（dǐ）被 ISO/IEC 作为蓝本修订后成为可用于认证的 ISO/IEC 的《信（xìn）息安全管理体系规（guī）范》。 

信息安全认证是实现信息（xī）安全目标的（de）较（jiào）佳途径：

BS7799-2：2002信息安（ān）全管理体系规（guī）范向组织（zhī）提（tí）出了一系列认证的要求，在总（zǒng）则中提（tí）出组织应（yīng）建立并（bìng）保（bǎo）持（chí）一个文件化的（de）信息安全管理体系，阐述被（bèi）保护的资产、组织风险管理的渠道、控制目标及控制方式和（hé）需要的（de）保证等级（jí）；通过建立管理架构（gòu）并加以实施来达到识别控制目标和（hé）控制方式，并形成文（wén）件和记（jì）录（lù）。

BS7799-2：2002的（de）控（kòng）制细则包括10个方面： 　

· 安（ān）全方针：为信息安全提供管理指导和支（zhī）持； 

· 组织安全：建立（lì）信息安全架构，保（bǎo）证组织（zhī）的内（nèi）部管理；被（bèi）第三（sān）方访问或（huò）外协时，保（bǎo）障组（zǔ）织的信息安全； 

· 资产的归（guī）类与控制（zhì）：明确（què）资产责任，保持对（duì）组织资产（chǎn）的适当保护；将（jiāng）信息进行归类，确保信息资产受到适（shì）当程度的保护； 

· 人员（yuán）安全：在工作说（shuō）明（míng）和资源方面，减少因人为错误（wù）、盗窃、欺诈和（hé）设施误用（yòng）造成（chéng）的风险；加强用户培训，确保用户清（qīng）楚知道（dào）信息安全的危（wēi）险性和相关（guān）事项，以（yǐ）便在他们的日常（cháng）工作中支持组织的安全方针（zhēn）；制定安全事故或故障的反应程序，减（jiǎn）少由（yóu）安全事故和故障（zhàng）造成的损失，监控（kòng）安（ān）全事件并从这种事件中吸取教训； 

· 实物与环（huán）境安全：确定（dìng）安全区域，防止（zhǐ）非授权（quán）访问、破坏（huài）、干扰商（shāng）务场所和信息；通过保障设备安全（quán），防止资产的丢失、破坏、资产危害及（jí）商务活动的中断；采用通（tōng）用的控制方式（shì），防止（zhǐ）信息或信（xìn）息处理设施损坏或（huò）失窃； 

· 通信和（hé）操作方（fāng）式管理：明确操作程序（xù）及其责任，确保信（xìn）息处理设施的正确、安全操作；加强（qiáng）系统策划与验收，减（jiǎn）少系（xì）统失效风险（xiǎn）；防范恶意（yì）软件以保持软件和信息（xī）的（de）完整性（xìng）；加（jiā）强（qiáng）内务管理以保持信息处理和通（tōng）讯服务的（de）完整性和有效性通过 ; 加强网络管理确保网络（luò）中的信息安全及其（qí）辅助（zhù）设施受到保护（hù）；通过（guò）保护媒（méi）体处理（lǐ）的（de）安全 , 防止资产损坏和商务（wù）活动的中断；加强信息和软件的交换的（de）管理，防止（zhǐ）组织间在交换信（xìn）息时（shí）发生丢失（shī）、更改和误用； 

· 访问控（kòng）制：按照访问（wèn）控（kòng）制的（de）商务（wù）要求，控（kòng）制信（xìn）息访问；加强用户访问管理，防止非授权访（fǎng）问信息系（xì）统；明确用户（hù）职责，防止非（fēi）授权的用户（hù）访问；加强网络访问控制，保护网络服（fú）务程序（xù）；加强操作（zuò）系统访问（wèn）控制（zhì） , 防止（zhǐ）非授权的计算机访问（wèn）；加强应用访问控制，防（fáng）止非授权访问（wèn）系统中（zhōng）的信息（xī）；通过监控系统的访问与使用，监测非授权行为；在移动式计（jì）算和电（diàn）传工作方面 , 确保使用移（yí）动（dòng）式计算和电传工作设施的信息安（ān）全（quán）； 

· 系统开发与维护：明（míng）确系统安全要（yào）求（qiú），确保安全性（xìng）已构成信息系统的一部份；加强应用系（xì）统的（de）安全，防止应用系统用户数（shù）据的丢（diū）失、被（bèi）修改或误（wù）用（yòng）；加强密码技术控制，保护信息的保密性（xìng）、可靠性或（huò）完整（zhěng）性；加（jiā）强系统文件（jiàn）的安全（quán），确保 IT 方案及其（qí）支持活动以安（ān）全（quán）的方（fāng）式进行；加强开发和支持过程的安全，确保应用系统软件和信（xìn）息的安全； 

· 商务（wù）连（lián）续性管理：防止商务活动的中断及保护关键商务过（guò）程不受（shòu）重大失误（wù）或灾难事故的影响； 

· 符合：符（fú）合法（fǎ）律法规（guī）要求，避免刑法、民法、有关法令法规或合同（tóng）约定事宜及（jí）其他安全要（yào）求的规定相抵触（chù）；加强安全方针和（hé）技（jì）术符合性评审，确保体系按照组织的安（ān）全方针（zhēn）及（jí）标准（zhǔn）执行；系统审核考虑因素，使（shǐ）效果（guǒ）较大化 , 并使系统审核过程（chéng）的影响（xiǎng）较小化。 　 

在国际标准（zhǔn） ISO/IEC17799 给出了为实现信息安全（quán）认证（zhèng）所需的各项措施的详细指（zhǐ）导，具有很强的可操作性和指导性。

归根（gēn）结底，信（xìn）息安全工作的目的（de）就（jiù）是在法律（lǜ）、法规（guī）、政策的支持与指导下，通过采用合（hé）适的安全技术与安全管理措（cuò）施，提供（gòng）安全需求的（de）保证，而 BS7799 信息安全认证标（biāo）准正是总和（hé）了这些要求（qiú）。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信（xìn）息安全（quán）的要求。

 ISO27001：2005 《信息（xī）安全管理体系（xì）要求》

 ISO27001 ： 2005 《信息安全（quán）管（guǎn）理体系要求》是关于信息安全（quán）管理的标准，是标准不是方法，达（dá）到这些（xiē）标准的要求并不（bú）难，重要的是用什么方法（fǎ）去实现。企业（yè）应将实施标（biāo）准作（zuò）为改善内部管（guǎn）理的一次机会，不应该将标准做为一种简单的模式对现有流程运作进行套用，应对现有（yǒu）的组（zǔ）织运作流程进（jìn）行（háng）详细（xì）分析，有针对（duì）性地设计并改善现有管理体系、改善薄（báo）弱环节、改善运作流程（chéng）及内部沟通，并有效地将先进（jìn）的管理思想融合到具体的实施程序中，才能发（fā）挥标准的真正作用。

获得（dé）认证证书（shū）不是较终目的，建立有责、有序、有效的信息（xī）安全管理体系，提高员工的信息安（ān）全意（yì）识，不断获取并运用先进的管理方（fāng）法和技术手段才能使企业的信息安全管理水（shuǐ）平得以持续（xù）的（de）发展和提（tí）升。