信息安全（quán） (Information security): 是（shì）指（zhǐ）信息（xī）的保密性（xìng） (Confidentiality) 、完（wán）整性 (Integrity) 和可（kě）用性 (Availability) 的（de）保（bǎo）持。

•  保密性（xìng）：为（wéi）保（bǎo）障信息仅仅为那些被授（shòu）权使用的人获（huò）取。

 信息的保密性是针对信（xìn）息被允许（xǔ）访（fǎng）问（ Access ）对象的（de）多少而（ér）不同，所有（yǒu）人员都（dōu）可以访问的信息（xī）为公（gōng）开信息，需要限制访（fǎng）问的（de）信息一（yī）般为敏（mǐn）感信息或（huò）秘密，秘密可以根据信息（xī）的重要性及保（bǎo）密要求分（fèn）为不（bú）同的密（mì）级，例如国家根据秘密泄露对国家经（jīng）济（jì）、安全利益产生的影响（后（hòu）果）不同，将国家秘密分为秘密（mì）、机（jī）密和绝密三个等级，组织（zhī）可根据其信息安全的实际，在符合《国家保（bǎo）密法》的前（qián）提下将其信息划分为不（bú）同（tóng）的密（mì）级；对（duì）于具体的信（xìn）息（xī）的保密性有时效性，如秘密到期解密等。

 •  完整（zhěng）性：为（wéi）保（bǎo）护信息及（jí）其（qí）处理方（fāng）法的准确（què）性和完（wán）整性。

信息完（wán）整性一方面是指（zhǐ）信（xìn）息（xī）在利用、传输、贮（zhù）存等过程中不被篡（cuàn）改（gǎi）、丢失、缺（quē）损等，另一（yī）方面是指信息处理的方法的（de）正确（què）性。不正（zhèng）当（dāng）的操作，如（rú）误删除文件，有可能造成重要文件的丢失。

 •  可用性：为保障授权使用人（rén）在需要时可以获（huò）取信（xìn）息和使用相关的资产。

信（xìn）息的可用性是指信息及（jí）相关（guān）的信息资产在授权人需要的时（shí）候，可以立即获得。例如（rú）通信线路中断（duàn）故障会造成信息的在一段时（shí）间内不（bú）可用，影响正常（cháng）的商业运作，这是信（xìn）息可（kě）用性（xìng）的破坏。不同类（lèi）型的信息及相应资产（chǎn）的信息安全在保密（mì）性、完整性及可用（yòng）性方面关注点不同，如组织的专有技术、市场营（yíng）销计划等商业秘密对（duì）组（zǔ）织来讲保（bǎo）守机密尤其重要；而对于工业自动（dòng）控（kòng）制（zhì）系统，控（kòng）制信（xìn）息（xī）的完整（zhěng）性（xìng）相（xiàng）对（duì）其保密（mì）性（xìng）重要得（dé）多。

为（wéi）什么需要信息安全？

信息、信息处理（lǐ）过程及（jí）对信息起支持作用的信息系统和信息网络（luò）都是重要的商务资产。信息的保密性（xìng）、完整性（xìng）和可用（yòng）性对保持竞争（zhēng）优势、资金流动、效益、法律符（fú）合性和商业（yè）形（xíng）象都是至关重要（yào）的。然（rán）而，越来越多的（de）组织及其信息（xī）系统和网络面临着（zhe）包括计算机诈骗、间谍（dié）、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计（jì）算（suàn）机病毒、计算机入侵（qīn）、 Dos 攻（gōng）击等（děng）手段造成的（de）信息灾难已变得更加普遍（biàn） , 有计划而不易被察觉。组织对信息系统和（hé）信（xìn）息服务的依赖意味着更（gèng）易受到安全威胁的破（pò）坏，公共（gòng）和私人网络（luò）的（de）互连及信息资源的共享增（zēng）大了实（shí）现访（fǎng）问控制的难度。许多信息系统本身就不是按照（zhào）安全系统（tǒng）的要求来设计的，所以仅（jǐn）依靠技术手段（duàn）来实（shí）现（xiàn）信息安全（quán）有其局限（xiàn）性，所以信息安全的实现须得到管理和程序（xù）控制的（de）适当支持（chí）。确定应采取（qǔ）哪些控制方式则（zé）需要（yào）周（zhōu）密计划，并注（zhù）意细节。信息安（ān）全管理至少需要组织中的所有雇员的参与，此（cǐ）外还（hái）需要供应（yīng）商、顾客或股东（dōng）的（de）参（cān）与和信息（xī）安（ān）全的专（zhuān）家建议。在信息系（xì）统设计阶段就将安全（quán）要求（qiú）和控（kòng）制（zhì）一体化考虑，则成本会更低、效率会更高。

 BS7799的信息管理过（guò）程：

①确定信息（xī）安全管理方（fāng）针。

②确定 ISMS( 信息安全管理（lǐ）体系（xì）) 的范围

③进行风险分（fèn）析。

④选择控制目标并进行控制。

⑤建（jiàn）立业（yè）务持续计划。

⑥建立并实施安全管理体系（xì）。

 建（jiàn）立信息安全管（guǎn）理体系的作用：

 任何组织，不论（lùn）它（tā）在信息技术方面如何努（nǔ）力以及采纳如（rú）何（hé）新的信息安全技术（shù），实际上在信息安全（quán）管理方面（miàn）都还存在漏洞，例如：

· 缺少信息安全管理（lǐ）论坛，安全（quán）导向不明确，管（guǎn）理支持不明显； 

· 缺少跨部门的信息安全协调机（jī）制（zhì）； 

· 保（bǎo）护特定资产以及（jí）完成特定安全（quán）过程的（de）职责还不明确； 

· 雇员信息安全（quán）意（yì）识（shí）薄弱，缺少防范意识，外来人员很容易直接进（jìn）入生产和工作场所； 

· 组（zǔ）织信（xìn）息系统（tǒng）管理制（zhì）度不够健全（quán）； 

· 组织信息系统主机房（fáng）安全存在（zài）隐患，如：防火（huǒ）设施存在问题（tí），与（yǔ）危险品仓库同处（chù）一（yī）幢（zhuàng）办公楼等； 

· 组（zǔ）织（zhī）信息系统备（bèi）份设备仍有欠缺； 

· 组（zǔ）织信息系统安全防范技术投（tóu）入欠缺； 

· 软件知识产权保护欠缺； 

· 计算机房、办（bàn）公场所等物（wù）理防（fáng）范措（cuò）施欠缺（quē）； 

· 档案、记录等缺少可靠贮存场所（suǒ）； 

· 缺少一（yī）旦（dàn）发生意外时的保证生产经营连续性（xìng）的措施和计划； 

        ……等（děng）等。

为什么要建立和实施ISO27001信（xìn）息（xī）安全（quán）管理体系认证（2）

其实，组织可以参照信息安全管理模（mó）型，按照先进的信息安（ān）全管（guǎn）理（lǐ）标准 BS7799 标（biāo）准建立（lì）组织完（wán）整的信息安全管理体系并实（shí）施与保持，达到动态的、系统（tǒng）的（de）、全员（yuán）参与、制（zhì）度化的、以预防为主的（de）信（xìn）息安全管理（lǐ）方式，用较低的成（chéng）本（běn），达到可接受（shòu）的信（xìn）息安全水平，就可以从根本上保证业务的连续性。组织建立（lì）、实施与保持信息安全管理体系将会（huì）产生如下作（zuò）用：

· 强化员工（gōng）的信息安（ān）全意识，规范（fàn）组织信息安全（quán）行为； 

· 对组织的关键信息（xī）资产进行全面系统（tǒng）的保护，维（wéi）持竞争优势； 

· 在信息系统受到侵袭时，确（què）保业（yè）务持续开展并将损失降到较低程（chéng）度； 

· 使组织的生意伙伴和客户（hù）对组织充满信心； 

· 如果通（tōng）过体（tǐ）系认（rèn）证，表明体系符合标（biāo）准，证（zhèng）明组织有能（néng）力保（bǎo）障重要（yào）信息，提高组织（zhī）的名度与信任（rèn）度； 

· 促使管理层坚持贯彻信息安（ān）全（quán）保障体（tǐ）系。 

BS7799标（biāo）准概（gài）述（shù）：

· 1995 年（nián），英国贸工（gōng）部根据（jù）英国国内企业对信息安全日益高涨的（de）呼（hū）声，组（zǔ）织大（dà）企（qǐ）业的信息（xī）安全（quán）经理们（men），制定了世界（jiè）上（shàng）第一个信息安全（quán）管理体（tǐ）系标准 BS7799-1 ： 1995 《信息（xī）安全（quán）管理实施规（guī）则》，作为工商业和（hé）大、中、小型组织（zhī）实（shí）施（shī）信息安全（quán）管理的指南。由于（yú）该标准采用建议和指（zhǐ）导方式（shì）编写，因而不宜作为认证标（biāo）准使用。 

· 1998 年，为（wéi）了适应第三方认（rèn）证的需（xū）要，英国又制定了第一个（gè）信（xìn）息安全管理体系认（rèn）证（zhèng）标准 --BS7799-2 ： 1998 《信息安全管理体系规范》，作为对一个组织的（de）全部或（huò）部分信（xìn）息安全管理（lǐ）体系（xì）进行（háng）评审（shěn）认证的（de）依据标准。 

· 1999 年，鉴于计算机（jī）和信息处理（lǐ）技术（shù），尤其（qí）是网络和（hé）通信领域应用的迅（xùn）速（sù）发展，英（yīng）国又对信息安全管理体系标准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新（xīn）修（xiū）订的 1999 版标准进一步强（qiáng）调了组织在商务工作中所涉及（jí）的信（xìn）息安全和信息（xī）安（ān）全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建立和实施（shī）符合 BS7799-2 ： 1999 标准要求的信息（xī）安全（quán）管理体系提供了较佳的应用建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施规则》，另外， BS7799-2 ： 1999 也即将（jiāng）于 2002 年底被 ISO/IEC 作为（wéi）蓝本修订后成为可用于（yú）认证的 ISO/IEC 的（de）《信息安全管理体系规范》。 

信息安全认证是实现信息安全目标的较（jiào）佳途径：

BS7799-2：2002信息安全管理体系规（guī）范（fàn）向（xiàng）组织提（tí）出了一（yī）系列认证（zhèng）的要求，在总则中提出组织应建（jiàn）立并（bìng）保持一个文件化（huà）的信（xìn）息安全（quán）管理体系，阐述（shù）被保护的（de）资产、组（zǔ）织风险管理的渠道、控（kòng）制目标及控（kòng）制方（fāng）式（shì）和需（xū）要的保证等（děng）级；通过（guò）建（jiàn）立管理架构并加以实（shí）施来达到识别（bié）控制目标（biāo）和控制（zhì）方式，并形成文件和记（jì）录。

BS7799-2：2002的控制细则（zé）包（bāo）括（kuò）10个方面： 　

· 安全（quán）方（fāng）针：为信息安全（quán）提供管理（lǐ）指导和支持； 

· 组织安全：建立信息安全架构，保证组织的内部管理；被第三方访问或外协时，保障（zhàng）组织（zhī）的信息安全； 

· 资产的归类与控制（zhì）：明（míng）确资产责任（rèn），保持对组织资产（chǎn）的适当保护；将信（xìn）息进行归类，确保信息资产受到适（shì）当程度（dù）的保护； 

· 人员安（ān）全：在（zài）工作说明和资源方面（miàn），减（jiǎn）少（shǎo）因（yīn）人（rén）为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保（bǎo）用户清楚知道信息安全（quán）的危险性和（hé）相关事（shì）项，以便（biàn）在（zài）他们的日常工（gōng）作中支持（chí）组织的安全方（fāng）针；制（zhì）定安全事故或（huò）故障（zhàng）的反应程序，减少由（yóu）安全事故和故障造成的损失，监（jiān）控安全事件并（bìng）从这种事件中吸取教训； 

· 实（shí）物与环境安全：确定安全区域，防止非授权访问、破坏、干扰商务场（chǎng）所和信息；通过保障设（shè）备（bèi）安全，防止资（zī）产（chǎn）的丢失、破坏、资产（chǎn）危害及商务活（huó）动的中断；采（cǎi）用（yòng）通用（yòng）的控制方（fāng）式，防（fáng）止信息或信息处理设施损坏（huài）或失窃； 

· 通信和操作方式管理：明确操作程序及其（qí）责任，确（què）保信息处理设施的正确、安（ān）全（quán）操作；加强系统策划与验（yàn）收，减少系统失效风险；防范恶（è）意软件（jiàn）以（yǐ）保（bǎo）持软件和信（xìn）息的完整性；加强（qiáng）内务管理以保持信息处理和（hé）通讯服务的完整（zhěng）性（xìng）和有效性通（tōng）过 ; 加强网络管理确保网络中的信息安全及其（qí）辅助设施（shī）受到保护（hù）；通（tōng）过保护媒体处（chù）理的安全（quán） , 防（fáng）止（zhǐ）资产损坏和商务活动（dòng）的中（zhōng）断；加强信息（xī）和软件的交换的管理，防止组（zǔ）织间在交换信息时发（fā）生丢失、更改和误（wù）用； 

· 访问控制：按照访问控制的商务要（yào）求，控制信息访问；加强用（yòng）户访问管（guǎn）理，防止非（fēi）授权访问信息系统；明（míng）确（què）用户职责，防止非授权的用户访（fǎng）问；加（jiā）强网络访（fǎng）问控制，保（bǎo）护网络服务（wù）程序；加强操（cāo）作系统访问（wèn）控制 , 防止非授权的计算机（jī）访问（wèn）；加强应用访问控制（zhì），防（fáng）止非授权访问系统中的信息；通过监控系统的（de）访问与使用，监测非授权行（háng）为（wéi）；在移动式计算和电传工（gōng）作方（fāng）面 , 确（què）保使用移动式（shì）计算（suàn）和电（diàn）传工作设施的信息安全； 

· 系（xì）统开发与维护：明确系统安全（quán）要求，确保安全性已（yǐ）构成信息系统的一部（bù）份；加（jiā）强应用系统的安全（quán），防止应用系统用（yòng）户（hù）数据的丢失、被修改或（huò）误用；加强密码技术控制（zhì），保护信息的保密（mì）性、可靠性（xìng）或（huò）完整性；加强系统（tǒng）文件的（de）安全，确保 IT 方案及其支（zhī）持活动以安全的方（fāng）式进行；加强开发和支持（chí）过程的安全，确保应用系统软件（jiàn）和信息的安全； 

· 商（shāng）务连续（xù）性管理：防止商务（wù）活动的中断及保护（hù）关（guān）键商务（wù）过（guò）程不受重大失误或灾（zāi）难事故的影响； 

· 符合：符合法律法规要求，避免刑法、民法、有关（guān）法令法规或合同约定（dìng）事宜及其他（tā）安全（quán）要求的规定相抵触；加强安全方针和技术符合性评审，确保体系按照组（zǔ）织的安全方针（zhēn）及标准执行；系统审核考虑因（yīn）素，使效果较大化 , 并使系统审核过程的影响较小化。 　 

在国际（jì）标准 ISO/IEC17799 给出了为实现信息安全认（rèn）证所需的各（gè）项（xiàng）措施的详细指导，具有（yǒu）很强的可操作性和指（zhǐ）导性（xìng）。

归根结底，信息安（ān）全工（gōng）作的目的就是在法律、法规、政策的支持与（yǔ）指导下，通过采（cǎi）用合适的安全技术与安全管理措施（shī），提供安全需（xū）求的（de）保证，而 BS7799 信息（xī）安全认证（zhèng）标（biāo）准正是总和了这些（xiē）要求。组（zǔ）织可以根（gēn）据（jù）自身特点，在（zài） ISO/IEC 17799 指导下（xià），实现信息安全的（de）要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全管（guǎn）理体系要求（qiú）》是关于信息安全管（guǎn）理的（de）标准（zhǔn），是标准不是方法，达到这些标准的要求（qiú）并（bìng）不难，重要的是用什（shí）么方（fāng）法去实现。企业应将（jiāng）实施标准作（zuò）为改善内部（bù）管理的一次机会，不（bú）应该将标准做为一种简单的（de）模式（shì）对现有（yǒu）流程运作进行套用（yòng），应对现有的组织运（yùn）作流程（chéng）进行（háng）详细分析，有针对性地设计并改善现有管理体系、改善薄弱环节、改善运作流程及内部沟通，并有效地将先（xiān）进的管理思想融合（hé）到具体的实施程序中，才能发挥标准的真正作用。

获得认证证书不是较终目（mù）的，建立有（yǒu）责、有序、有效的（de）信息安全管（guǎn）理（lǐ）体系，提（tí）高员（yuán）工的信（xìn）息安全意识，不断获取并运用先进的（de）管理方法（fǎ）和（hé）技术手（shǒu）段才（cái）能（néng）使企业的信息（xī）安（ān）全（quán）管理水平得以持（chí）续的发展和（hé）提（tí）升。