信息（xī）安全 (Information security): 是（shì）指信息的保密（mì）性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为保障信息仅仅为那些被授权使用的人（rén）获取（qǔ）。

 信息的（de）保密性是（shì）针对信息被（bèi）允（yǔn）许访问（ Access ）对象的多少而（ér）不同，所有人员都可以访问的信（xìn）息为公开信息，需（xū）要（yào）限制（zhì）访问的信息一般为敏感信息或秘密，秘密可（kě）以根据信息的重要性（xìng）及保（bǎo）密（mì）要求分为不（bú）同的密级（jí），例如国家根据秘密泄露对国（guó）家经（jīng）济、安全利（lì）益产生的影响（后果）不（bú）同，将国家秘密分为秘密、机密（mì）和绝密三（sān）个等级（jí），组织可（kě）根（gēn）据其信息（xī）安全的实际，在（zài）符合《国家保密法》的前提下（xià）将其信息划分为不同的密级；对于具体的信息的（de）保密性有时效性，如秘密到期解密等（děng）。

 •  完整性（xìng）：为保护信息及其（qí）处理（lǐ）方（fāng）法（fǎ）的准确性和完整（zhěng）性。

信息完整性（xìng）一方面是指（zhǐ）信息在（zài）利（lì）用、传输、贮存等过程（chéng）中（zhōng）不被（bèi）篡改、丢失（shī）、缺损（sǔn）等，另一方面是指信（xìn）息处（chù）理的方法的正确性。不正当的操作（zuò），如误删除文件（jiàn），有可能造成重要文件的丢失。

 •  可用性：为保障授权使用人（rén）在需（xū）要时可（kě）以（yǐ）获取信息和使（shǐ）用（yòng）相关的资产（chǎn）。

信息的可用性是指信（xìn）息及相关的信息资产在授权人需要的（de）时（shí）候，可以立即获得。例如通信线路中断故障会造成信（xìn）息（xī）的在一（yī）段时间内不可用，影响正常的商（shāng）业运作，这是（shì）信息可用性的破坏。不同类型的信息及相（xiàng）应资（zī）产的信息安（ān）全在保（bǎo）密性、完整性及可用性（xìng）方面关注点不同，如组织的专有技术、市场营销计划等商业秘（mì）密对组织来（lái）讲（jiǎng）保守机密尤其（qí）重要；而对于工业（yè）自动控制系统，控制（zhì）信息的完整性相对其保密性重要得多。

为什么（me）需要信息安全？

信（xìn）息、信息处理过程及对信息（xī）起（qǐ）支持作用（yòng）的信息系统和信息网络（luò）都是重要的商务资产。信息的保密性、完整性（xìng）和（hé）可用性对保持竞争优势、资（zī）金流动、效益（yì）、法律符合（hé）性和商业形象都是至关重（chóng）要（yào）的。然而，越来越多（duō）的组织及其信息系统和网络面临着包括计算机诈（zhà）骗、间谍、蓄意破坏、火灾（zāi）、水灾（zāi）等大范围（wéi）的安（ān）全威胁，诸（zhū）如计算机病毒（dú）、计算机（jī）入侵、 Dos 攻击等（děng）手段（duàn）造（zào）成的信（xìn）息灾难已（yǐ）变得更加普（pǔ）遍（biàn） , 有计划而不易被（bèi）察觉。组织对信息系（xì）统和信息（xī）服务的依赖意（yì）味着更易受到安全威胁的破坏（huài），公共和私（sī）人网络（luò）的互连及（jí）信息资源的共享增大了实现访问控制（zhì）的难度。许多信息系统本身就不是按照安全（quán）系统（tǒng）的要（yào）求来设计的，所（suǒ）以仅依靠技术手段来实现信息安全有其局限（xiàn）性，所以信息安全的实现须得到（dào）管理和程序控制（zhì）的适当支持。确定应采取（qǔ）哪些（xiē）控制方式则需要（yào）周密计划，并注（zhù）意细节。信息安全管（guǎn）理至少需要组织（zhī）中的所有雇员的参与，此外还需要（yào）供应商、顾客或股东的参与和（hé）信息安全（quán）的（de）专家（jiā）建议。在信息（xī）系统设计阶段就将（jiāng）安全要求和控制一体化考虑，则（zé）成（chéng）本会更低、效率会更高。

 BS7799的信息（xī）管（guǎn）理过程：

①确定信（xìn）息安全管理（lǐ）方（fāng）针。

②确定 ISMS( 信（xìn）息安全（quán）管理（lǐ）体系) 的（de）范围

③进（jìn）行风险分（fèn）析。

④选择控制目标并进行控（kòng）制。

⑤建立业务（wù）持（chí）续计划。

⑥建立并实施安全管理（lǐ）体系。

 建立（lì）信息安全管理体系的（de）作用：

 任何组织，不论它在（zài）信息技术方面如何努（nǔ）力以及采纳如何新的信（xìn）息安全技（jì）术，实际上在（zài）信息安全管理方面（miàn）都还存在漏洞（dòng），例如（rú）：

· 缺少信息（xī）安全（quán）管（guǎn）理论坛，安全导向不明确，管（guǎn）理支持不明显（xiǎn）； 

· 缺少跨部门的信息安全（quán）协调机制； 

· 保护（hù）特定资产以及（jí）完成特定安全过程（chéng）的职责还不（bú）明（míng）确（què）； 

· 雇（gù）员信息安全意识薄弱（ruò），缺（quē）少防范意识，外来人员很容易直接进入生产和工作场所； 

· 组织信（xìn）息（xī）系统管（guǎn）理制（zhì）度不够健全； 

· 组织信息系统主机房安全存在（zài）隐患，如：防（fáng）火设（shè）施存在问题，与危险品（pǐn）仓库（kù）同处（chù）一幢办（bàn）公楼等； 

· 组织信息（xī）系统备份设备仍（réng）有欠（qiàn）缺； 

· 组织信息系统安全防范技术投入（rù）欠缺； 

· 软件知（zhī）识产权（quán）保（bǎo）护欠（qiàn）缺； 

· 计算机房、办公场所等物理防范措施欠缺； 

· 档案、记录（lù）等缺少（shǎo）可靠贮存场（chǎng）所； 

· 缺少一旦发生（shēng）意外时的（de）保证生产经营连续性（xìng）的措施和计划； 

        ……等等。

为什么要建立和实施ISO27001信息安全管理体（tǐ）系认（rèn）证（2）

其（qí）实，组织可以参照信（xìn）息安全管理模型，按（àn）照先进的信息（xī）安全（quán）管理标准 BS7799 标准（zhǔn）建立组（zǔ）织完整的信息安全管理体（tǐ）系（xì）并实施与保持（chí），达到动态的、系统的、全员（yuán）参与（yǔ）、制度化的（de）、以预防为主的信息安全管（guǎn）理方式，用较低的（de）成本，达（dá）到可接受的信息安（ān）全水平，就可以从根（gēn）本上保证业（yè）务的连续性。组（zǔ）织建立（lì）、实施与（yǔ）保持信息安全管理体系将会（huì）产生如下作用（yòng）：

· 强化员工（gōng）的信息安全意（yì）识，规范（fàn）组织信息安全行为； 

· 对（duì）组织（zhī）的关（guān）键（jiàn）信息资产进行全面系统的保（bǎo）护，维（wéi）持竞争（zhēng）优势； 

· 在（zài）信息系统受到侵袭时（shí），确保业（yè）务持（chí）续开展并（bìng）将损失（shī）降到较低程度； 

· 使组织的生意伙伴和客户对组织充（chōng）满信心； 

· 如果通过体系认证，表明体系（xì）符合标（biāo）准，证明组织有能力保（bǎo）障重（chóng）要信息，提高（gāo）组织（zhī）的名度（dù）与信任度； 

· 促（cù）使管理层坚持贯彻信息安全保障体系。 

BS7799标准（zhǔn）概述：

· 1995 年，英（yīng）国贸工部（bù）根（gēn）据英国国内企业对信（xìn）息安全日益高涨的呼声，组（zǔ）织大企业的（de）信息安全经理们，制定了世界上第一个信息（xī）安全管理体系标准 BS7799-1 ： 1995 《信息（xī）安全管理实施规则（zé）》，作（zuò）为工商业和大、中、小型（xíng）组织实（shí）施信息安全（quán）管理的指南。由于该标准采（cǎi）用建议和指导方式编写，因而不宜作为认证标准（zhǔn）使（shǐ）用。 

· 1998 年，为了适应第三方认证的需（xū）要，英国又制定了第一个信息（xī）安（ān）全管理体系认证标准 --BS7799-2 ： 1998 《信息安全管理（lǐ）体（tǐ）系规范（fàn）》，作（zuò）为对一个组织（zhī）的全（quán）部或部分（fèn）信息安全管理体系进行评审认证的依据标准。 

· 1999 年，鉴于计算机和信（xìn）息（xī）处理技术，尤其是（shì）网络和通（tōng）信领域（yù）应用的迅速发展，英（yīng）国又对信息（xī）安全管理体系标准进行了修订。修订后的 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 分（fèn）别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订（dìng）的 1999 版标准进一（yī）步强调了（le）组织在（zài）商务工（gōng）作中所涉及的信息安全和信息安全责任（rèn）。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一（yī）对配套标准， BS7799-1 ： 1999 为如（rú）何（hé）建立和实施符合 BS7799-2 ： 1999 标准要求的信息安全管理体系提供了较佳（jiā）的（de）应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采（cǎi）纳成为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施规则》，另（lìng）外， BS7799-2 ： 1999 也即（jí）将于 2002 年底被（bèi） ISO/IEC 作为蓝本修订（dìng）后成为可用于认证的（de） ISO/IEC 的《信息安全管理体（tǐ）系规范》。 

信息安全认证是实（shí）现信息安（ān）全目标的较佳途径：

BS7799-2：2002信息安全（quán）管理体（tǐ）系规范（fàn）向组织提出了一系列认（rèn）证的要求，在总则中提（tí）出（chū）组织应建立并保持（chí）一（yī）个（gè）文件化的（de）信息安全管理体系，阐述被保护的资（zī）产（chǎn）、组织风险管（guǎn）理的（de）渠道、控（kòng）制目（mù）标及控（kòng）制方式和需要的保证等级；通过建立管理架构并（bìng）加以实施（shī）来达到（dào）识（shí）别控制目标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则包括（kuò）10个方（fāng）面： 　

· 安全方针：为信息安全提供管理指导和支持； 

· 组（zǔ）织安全：建立信息安全架构（gòu），保证组（zǔ）织（zhī）的（de）内部管理；被第三方访问或外协（xié）时，保障组织的信息安全（quán）； 

· 资产的归类与控制：明（míng）确（què）资产（chǎn）责任（rèn），保持对组织资产的适当保护；将信息进行归类，确（què）保（bǎo）信息资产（chǎn）受到适当（dāng）程度的保护； 

· 人员安全：在工作说（shuō）明和（hé）资（zī）源方（fāng）面，减少因人为错误、盗窃（qiè）、欺诈和（hé）设施误用造成的风（fēng）险；加强用户培训，确保用户清楚知道信息安（ān）全的危险性和相（xiàng）关事项，以便在他（tā）们的日常工作（zuò）中支持（chí）组（zǔ）织的安全方针；制定（dìng）安全事故或故（gù）障（zhàng）的反应（yīng）程（chéng）序，减少由安（ān）全事故（gù）和故障（zhàng）造成的损失，监控（kòng）安全事件（jiàn）并从（cóng）这种事件中吸取（qǔ）教（jiāo）训； 

· 实物与环境安全（quán）：确定安全区域，防（fáng）止非授权访问、破坏、干扰商（shāng）务场所和信息；通过（guò）保障设备安（ān）全，防止资产的（de）丢失、破坏、资产危害（hài）及商务活（huó）动的中断；采用通用的控制（zhì）方式，防止信息或信息处理（lǐ）设施损坏或失窃； 

· 通（tōng）信和操作（zuò）方式（shì）管理（lǐ）：明确操（cāo）作程（chéng）序及其责（zé）任（rèn），确保信息（xī）处理设施的正确、安（ān）全操作；加强系统策（cè）划（huá）与验收，减少（shǎo）系统失效风险；防范恶（è）意软件以保持软（ruǎn）件和信息的（de）完整性；加（jiā）强内务（wù）管理（lǐ）以保持（chí）信（xìn）息处理和通讯服务的完（wán）整性（xìng）和（hé）有（yǒu）效性通（tōng）过 ; 加强网络管理确（què）保（bǎo）网络中的信（xìn）息（xī）安全及其辅助设（shè）施受到保护（hù）；通（tōng）过保（bǎo）护（hù）媒体处理的安全（quán） , 防止资（zī）产损坏和（hé）商务（wù）活动的（de）中断；加强信（xìn）息（xī）和（hé）软件的交换的管理，防（fáng）止组织间在交换信息时发生丢失、更改和误用（yòng）； 

· 访（fǎng）问控制（zhì）：按（àn）照访问控制的商务要求，控制信息访问；加强用户访问管理，防止非授权访（fǎng）问（wèn）信（xìn）息系统；明确用户职（zhí）责，防止非授（shòu）权的用户访问；加强网络（luò）访问（wèn）控制，保护网络（luò）服务程序；加强操作系（xì）统访问（wèn）控（kòng）制 , 防（fáng）止（zhǐ）非授权的计（jì）算机（jī）访（fǎng）问；加强应用访（fǎng）问控制，防止非授（shòu）权访（fǎng）问（wèn）系统（tǒng）中的信息；通过监控系统（tǒng）的访（fǎng）问与使用，监测非授权（quán）行（háng）为（wéi）；在移（yí）动式计算（suàn）和电（diàn）传工（gōng）作方面 , 确（què）保使用（yòng）移动式计算和电（diàn）传（chuán）工（gōng）作设施的信（xìn）息安全； 

· 系统开（kāi）发（fā）与维护：明确系统（tǒng）安（ān）全（quán）要（yào）求，确保安（ān）全性已构成信（xìn）息系统的一部份；加强应用系统的安全（quán），防（fáng）止应（yīng）用系统用户数（shù）据的丢失、被修改（gǎi）或误用；加强（qiáng）密码技术控制，保（bǎo）护（hù）信息的（de）保密性、可（kě）靠性或（huò）完整性；加强系统文件的安全，确保 IT 方案及其支持活动以安全的方式进行；加强开发和支持（chí）过程的安全（quán），确保（bǎo）应用系统软件和（hé）信息的安全； 

· 商务连续性管（guǎn）理：防止商务活（huó）动（dòng）的中断（duàn）及保护（hù）关键商务过（guò）程（chéng）不受重大失误或灾难事故的影响； 

· 符合：符合法律法规要求，避免刑法、民（mín）法、有关法令法规或合同约定（dìng）事宜及其他安全要求的规定相抵（dǐ）触；加强（qiáng）安（ān）全方针和技术符合（hé）性评审，确保体系按照组织（zhī）的（de）安全方针及标准执行；系统（tǒng）审核考虑因素（sù），使效果（guǒ）较大化 , 并使（shǐ）系统审核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信息安全认证所需的各项措施的详细指导，具有很强的可操作性和指导性（xìng）。

归根结底，信息安全工作（zuò）的目的（de）就是在法律、法规、政策的支（zhī）持与指导下，通过采用合适（shì）的（de）安全（quán）技术（shù）与安（ān）全管理措施，提供安全需求的保证，而 BS7799 信息（xī）安（ān）全认（rèn）证（zhèng）标准（zhǔn）正（zhèng）是总和了这些要求。组织可（kě）以根据自（zì）身（shēn）特点，在 ISO/IEC 17799 指导下，实现信息（xī）安全的要求。

 ISO27001：2005 《信息安（ān）全管（guǎn）理（lǐ）体系要求》

 ISO27001 ： 2005 《信息安全管理体（tǐ）系（xì）要（yào）求》是关于信（xìn）息安全管理的标（biāo）准，是标准不是方（fāng）法，达到这些标（biāo）准的要求并不难，重（chóng）要（yào）的是用（yòng）什么方法去实（shí）现。企业应将实施标准（zhǔn）作（zuò）为改善内部管理的一（yī）次机会，不应该将（jiāng）标准做（zuò）为一种（zhǒng）简单的模式对现有（yǒu）流（liú）程运作进行套用，应对（duì）现（xiàn）有的组织运作流程进行详细分析，有针（zhēn）对性地设（shè）计并改善现有管理（lǐ）体系、改善薄弱环节、改善（shàn）运作流程及（jí）内部（bù）沟通，并有效（xiào）地将先进的管理思想（xiǎng）融合（hé）到具体的实施程序中，才能发挥标准（zhǔn）的真正作用。

获得认证（zhèng）证书（shū）不是（shì）较（jiào）终目的（de），建立有（yǒu）责、有（yǒu）序、有效的（de）信息（xī）安全管理体系，提高员工的信息安全意识（shí），不断获（huò）取并运用先进的管理方法和技术手段才（cái）能（néng）使企业的信息安全管理（lǐ）水平得（dé）以持续的发展（zhǎn）和提（tí）升。