信息（xī）安全 (Information security): 是指信息的保密（mì）性 (Confidentiality) 、完整性（xìng） (Integrity) 和可（kě）用性 (Availability) 的保持。

•  保密性（xìng）：为保障（zhàng）信息仅（jǐn）仅为那些被授权使用的人获（huò）取。

 信息的保密性是针对信息被允许访问（ Access ）对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制（zhì）访问（wèn）的信息一般为敏（mǐn）感信（xìn）息或秘密（mì），秘密可以（yǐ）根（gēn）据（jù）信息的重要（yào）性及保密要求分（fèn）为不（bú）同的密级（jí），例如国家根据秘（mì）密泄（xiè）露对国家经济、安（ān）全利益产生的影响（后果）不同（tóng），将（jiāng）国家秘密分（fèn）为秘密（mì）、机密（mì）和绝（jué）密三个等（děng）级，组（zǔ）织可根据其信息安全的实际，在符合《国家保密法》的前提下（xià）将其信息划（huá）分（fèn）为不同的密级；对于具体的信（xìn）息的保（bǎo）密性有（yǒu）时效（xiào）性，如秘密到期解密等。

 •  完（wán）整（zhěng）性（xìng）：为保护信息及其处理方（fāng）法的（de）准确性和完整性。

信息（xī）完整性一方（fāng）面是（shì）指（zhǐ）信息在利（lì）用（yòng）、传输、贮（zhù）存等（děng）过程中不（bú）被篡改、丢（diū）失、缺损等，另（lìng）一方面是指信（xìn）息处理的（de）方法的（de）正确（què）性。不（bú）正当的操（cāo）作，如误（wù）删（shān）除文件，有可能造成（chéng）重要文件的丢失。

 •  可用性：为（wéi）保障授（shòu）权使用（yòng）人在需（xū）要时可以获取信息和（hé）使用相（xiàng）关的资产。

信息的可用性是指信息及相关的信息（xī）资产在授权（quán）人需要的时（shí）候，可以立即获得。例（lì）如通（tōng）信线路中断故（gù）障会造成信息的在一段时间内不可用，影（yǐng）响正常（cháng）的商业运作，这是信（xìn）息可用性的破坏。不同类（lèi）型的（de）信（xìn）息及相应（yīng）资产的信息安全在保密性、完整性及可（kě）用性方面（miàn）关注点不（bú）同（tóng），如组织的（de）专有技术、市场（chǎng）营销计划等商业秘密对组织来讲保守（shǒu）机密尤其重要；而对于工业自动控制系统，控制信（xìn）息的完整性相对（duì）其保密性重要得多。

为什么需要信息安全？

信息、信息（xī）处理过程及对信息起支持作用的信息系统和信（xìn）息网络都是重要的商务（wù）资产。信息的保（bǎo）密性、完（wán）整性和（hé）可用性对（duì）保（bǎo）持（chí）竞争优势（shì）、资金流动、效益、法律符合性和商业形象都是至关重要的。然而，越来越（yuè）多的组织及（jí）其信（xìn）息系统和网络面临着（zhe）包括计算机诈（zhà）骗、间谍、蓄意破坏、火灾（zāi）、水灾等大范围的安全（quán）威胁，诸如计算机（jī）病（bìng）毒、计算（suàn）机（jī）入侵、 Dos 攻击等手段造成的（de）信息灾难已变得更加普遍 , 有计划而不易被察觉。组织（zhī）对信息系（xì）统（tǒng）和信息（xī）服务的依（yī）赖意味着（zhe）更易受到安全（quán）威胁的破坏，公（gōng）共（gòng）和私人网络的互（hù）连及信息（xī）资源的（de）共享增（zēng）大了实现访（fǎng）问控制的难度。许多信息系统本身（shēn）就不是按照安全（quán）系统的要求来设计（jì）的，所以仅依靠技术（shù）手（shǒu）段来（lái）实现信息安全（quán）有其（qí）局限性，所（suǒ）以（yǐ）信息安全的实现须得（dé）到（dào）管（guǎn）理和（hé）程序（xù）控制的适当支持。确定应（yīng）采取哪些（xiē）控制方（fāng）式则需要周（zhōu）密（mì）计（jì）划，并注意细（xì）节。信息安全管理（lǐ）至少（shǎo）需要组织中的所有雇员的参与，此（cǐ）外还需要供应（yīng）商（shāng）、顾（gù）客或股东的参与（yǔ）和信息（xī）安全（quán）的专家建议。在信（xìn）息系统设计（jì）阶（jiē）段就将安全（quán）要求和控制一体化考虑，则成本会更低、效（xiào）率会更高。

 BS7799的信息管理（lǐ）过程（chéng）：

①确定信（xìn）息安全管理方（fāng）针。

②确定 ISMS( 信息（xī）安全管理（lǐ）体系) 的（de）范围

③进行风险分析。

④选择控制目（mù）标并（bìng）进行（háng）控（kòng）制（zhì）。

⑤建立业务（wù）持续计划。

⑥建立并实施安全（quán）管理体（tǐ）系（xì）。

 建立信息安全管理体系（xì）的作用：

 任何组织，不论（lùn）它在信（xìn）息（xī）技术方（fāng）面如（rú）何努力以及采纳如何新的（de）信息安全技术，实际上（shàng）在（zài）信息安全管理（lǐ）方面都还存在漏洞，例如：

· 缺少信息安全管理论坛（tán），安（ān）全导向不明确，管理支（zhī）持不明显； 

· 缺少（shǎo）跨（kuà）部门的信息安全协调机制； 

· 保护（hù）特定资产（chǎn）以及完成特（tè）定（dìng）安全过程（chéng）的职责还（hái）不明确； 

· 雇员信息安全（quán）意识（shí）薄弱（ruò），缺少防范意识，外来人员很容易（yì）直接进（jìn）入生（shēng）产和工作场所； 

· 组（zǔ）织信息系统管（guǎn）理制度不（bú）够健全； 

· 组织信（xìn）息（xī）系统主（zhǔ）机（jī）房安全存在（zài）隐（yǐn）患，如：防火设施（shī）存在问题，与危险品仓库同处一（yī）幢（zhuàng）办公楼等； 

· 组织信息（xī）系统备份设备仍有欠缺； 

· 组织信（xìn）息系（xì）统安全防范（fàn）技术投入（rù）欠缺； 

· 软件（jiàn）知（zhī）识（shí）产权（quán）保（bǎo）护（hù）欠缺； 

· 计算机房、办公场所等物理防（fáng）范措（cuò）施欠（qiàn）缺； 

· 档（dàng）案、记录等缺少可靠贮存场（chǎng）所； 

· 缺少一旦发（fā）生意外（wài）时的保证生产经营连续（xù）性的措施和计划（huá）； 

        ……等（děng）等（děng）。

为什么要建立和实施ISO27001信息（xī）安全（quán）管理体（tǐ）系认证（2）

其（qí）实，组织可以参照信息安全管理模型，按照先进的信息安全管理标准（zhǔn） BS7799 标准建立组织完整的信息安全管理体系并实（shí）施与保持，达到（dào）动态（tài）的（de）、系（xì）统的、全员参与、制（zhì）度化（huà）的、以预（yù）防为主的信（xìn）息安（ān）全管（guǎn）理方式，用（yòng）较低的成本，达到可（kě）接受的信息安全水平，就可以从根本上（shàng）保证业（yè）务的连续（xù）性。组织建（jiàn）立、实施（shī）与保持信息（xī）安全管理体系将会产生（shēng）如下作用：

· 强化员工的信息安全（quán）意识，规范组织信息安（ān）全行为； 

· 对组（zǔ）织（zhī）的（de）关（guān）键信息资产（chǎn）进（jìn）行全面系统的保（bǎo）护，维持竞争（zhēng）优势； 

· 在信息系统受到侵袭时，确保业务（wù）持续开展并（bìng）将（jiāng）损失降（jiàng）到较（jiào）低程（chéng）度； 

· 使（shǐ）组织的生意伙伴（bàn）和客户对组织充满信心； 

· 如果通过（guò）体系认证，表明体系符合标准，证明组织（zhī）有（yǒu）能力保障重要信息，提高组织的名度与信任度； 

· 促使管理（lǐ）层（céng）坚持（chí）贯彻信息安全保（bǎo）障体系。 

BS7799标准概述：

· 1995 年，英国（guó）贸工部根据英国国内企业对信息安全日益高（gāo）涨的呼声，组织大企业的（de）信息安全经理们，制定（dìng）了（le）世界上第（dì）一个信（xìn）息（xī）安全（quán）管理体系标准（zhǔn） BS7799-1 ： 1995 《信息安全管理实施规则（zé）》，作为工商业和大、中、小型组织实施信息（xī）安全管理的指南（nán）。由（yóu）于该标准采（cǎi）用建议和指导方（fāng）式编写，因而不宜作（zuò）为认证（zhèng）标准使用。 

· 1998 年，为了适（shì）应第三（sān）方认证的需（xū）要，英国又制定了（le）第一个信息安全管理体（tǐ）系认证标（biāo）准（zhǔn） --BS7799-2 ： 1998 《信息安全管（guǎn）理体系规范》，作为对（duì）一个组织的（de）全部或部（bù）分信（xìn）息安全管（guǎn）理体系进（jìn）行评审（shěn）认证（zhèng）的依据（jù）标准。 

· 1999 年（nián），鉴于计算机和信息处理技术（shù），尤其是网络和通信领域应用的迅速发（fā）展（zhǎn），英国又对信息（xī）安全管理（lǐ）体系（xì）标（biāo）准进（jìn）行了修订。修（xiū）订后（hòu）的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取（qǔ）代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的（de） 1999 版（bǎn）标准进（jìn）一步（bù）强调了组织在（zài）商务工作（zuò）中（zhōng）所涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是（shì）一（yī）对配（pèi）套标准， BS7799-1 ： 1999 为（wéi）如何建立（lì）和实施符合 BS7799-2 ： 1999 标准要求的（de）信息安全管理体系提供了较（jiào）佳（jiā）的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技（jì）术—信息安全（quán）管理实施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年底（dǐ）被 ISO/IEC 作为蓝（lán）本修（xiū）订后（hòu）成为可（kě）用于认（rèn）证的（de） ISO/IEC 的《信（xìn）息安（ān）全管理（lǐ）体系规（guī）范（fàn）》。 

信息安全认证是实现信息安全目（mù）标的较（jiào）佳途径（jìng）：

BS7799-2：2002信息安全管理（lǐ）体（tǐ）系规范（fàn）向组织提出了一系（xì）列认证（zhèng）的要求，在（zài）总则中提（tí）出（chū）组（zǔ）织（zhī）应建立并（bìng）保持一个文件化的信息安全管理体系，阐述被保护的资产、组（zǔ）织风（fēng）险管理的渠（qú）道、控制目标及控制方式和需要的保证等（děng）级；通过（guò）建立管理架构并加以实施来达到识（shí）别控制目标和控制方式，并形成文件（jiàn）和记录。

BS7799-2：2002的控制（zhì）细则包括10个方（fāng）面： 　

· 安全方针：为（wéi）信息安全提供管理指导和支持； 

· 组织安全：建（jiàn）立信息安全架（jià）构（gòu），保证组（zǔ）织的（de）内部管理；被（bèi）第三方访问（wèn）或外协时，保障组织的信息（xī）安全； 

· 资产的归类（lèi）与控制：明（míng）确资产责任，保持对组织资（zī）产（chǎn）的适（shì）当保护；将（jiāng）信息进行归类，确保信息资（zī）产受到适当（dāng）程度的保护（hù）； 

· 人员（yuán）安全：在工（gōng）作说明和资源方面，减（jiǎn）少因人为错（cuò）误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道（dào）信息安（ān）全的危险性和相关事项，以便在（zài）他们的日常（cháng）工作中支持组织的安全方针；制定安（ān）全事故或故障的反应程序，减少由安全事故和故障造成（chéng）的损失，监控（kòng）安全事件并从这种事（shì）件中（zhōng）吸取教训； 

· 实物与环境安全（quán）：确定安（ān）全区域，防（fáng）止非授权（quán）访问、破（pò）坏、干（gàn）扰（rǎo）商务（wù）场所和信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及（jí）商务活动的（de）中（zhōng）断；采用通用（yòng）的（de）控制（zhì）方式，防止信息或信息处理设施损坏或失窃； 

· 通信和操作方式管（guǎn）理：明确操作程（chéng）序及其责（zé）任（rèn），确（què）保信息处理设施的正确、安全（quán）操作；加强系（xì）统策划（huá）与验收（shōu），减少（shǎo）系（xì）统失效风险；防范（fàn）恶意软件以保（bǎo）持软件和信息的完整性；加强内务管（guǎn）理以保持信息处理和通（tōng）讯（xùn）服务的（de）完整性和有效性（xìng）通过 ; 加强（qiáng）网络（luò）管理确保网络中的信（xìn）息安全及（jí）其辅助设施受到（dào）保护；通（tōng）过保护媒体处理的安全 , 防（fáng）止资产损坏和商务活动的中断；加强信息和软件的交换（huàn）的管理，防（fáng）止组织间在交换信息时（shí）发生丢失（shī）、更改和（hé）误用（yòng）； 

· 访问控（kòng）制：按照访问控制的（de）商务（wù）要求（qiú），控制信（xìn）息访（fǎng）问（wèn）；加强用户访问管（guǎn）理，防止非授权访问信息系统（tǒng）；明确（què）用户职责，防（fáng）止（zhǐ）非授（shòu）权的用户访问（wèn）；加强网络访问控制，保护网络服务（wù）程序；加（jiā）强操作系统访（fǎng）问控制 , 防止（zhǐ）非（fēi）授权的计算机访（fǎng）问；加强（qiáng）应用访问控制，防止非授权访（fǎng）问（wèn）系统中的信息；通过（guò）监控系（xì）统（tǒng）的访（fǎng）问（wèn）与使（shǐ）用（yòng），监测非授权行为；在移动式计算和电传工作方面 , 确保使用移动（dòng）式（shì）计算和电传工作（zuò）设施（shī）的信息安（ān）全（quán）； 

· 系统开发与维（wéi）护：明（míng）确系统安（ān）全要求（qiú），确保安全性已（yǐ）构成信息系统的一部（bù）份；加强应用系统的安全，防止应用系统用（yòng）户数据的丢失、被（bèi）修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整（zhěng）性；加强系统文件的（de）安全，确保 IT 方案及（jí）其支（zhī）持活动以安全的方式进行；加强开发和支持过（guò）程（chéng）的安全，确保应用系统软件（jiàn）和（hé）信（xìn）息的安全（quán）； 

· 商务连续性（xìng）管理：防止商务活（huó）动的中断及保护（hù）关（guān）键商务过程不（bú）受重大失误或灾难事故的（de）影响； 

· 符合（hé）：符（fú）合法律法规要求，避免刑法、民法、有关法令法规或合同约定事宜及（jí）其（qí）他（tā）安全要求的规定相抵触；加强安（ān）全方针和技术符合（hé）性评审，确保体系按（àn）照组织的（de）安全方针（zhēn）及标准执行；系统审核考虑因素，使效果较大化 , 并使系统审核过（guò）程的影（yǐng）响较小化。 　 

在国际标准 ISO/IEC17799 给出了为（wéi）实现信息安全认（rèn）证所需的各项措施（shī）的详细指导，具有很强的可操作（zuò）性（xìng）和指（zhǐ）导性（xìng）。

归（guī）根结底，信（xìn）息安全工（gōng）作的目的就是（shì）在（zài）法律、法（fǎ）规（guī）、政策的支（zhī）持与指导下，通过采（cǎi）用（yòng）合（hé）适的安全技术（shù）与安全（quán）管理措（cuò）施（shī），提供安全（quán）需求的保证（zhèng），而 BS7799 信息安全认（rèn）证标准正是总和（hé）了这些（xiē）要求。组织可以根据自（zì）身特点，在 ISO/IEC 17799 指导下，实现（xiàn）信息安（ān）全的要求。

 ISO27001：2005 《信息安全（quán）管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安（ān）全管理（lǐ）体系要求》是关于（yú）信息安全管理（lǐ）的标准，是（shì）标准不（bú）是方法，达到这些标准的（de）要求（qiú）并不难，重要的是用什么方法去实现。企业应将实施（shī）标准（zhǔn）作为改善（shàn）内（nèi）部管理的一次机会（huì），不应该将标（biāo）准做为一种简单的（de）模（mó）式对现有流程运作进行套（tào）用，应对现有的（de）组织运作流（liú）程进行详细分析，有针对（duì）性地设计并改善现有管理体系、改善薄弱环节、改善运作流程及（jí）内部沟通（tōng），并有效（xiào）地将先进的管理思（sī）想融（róng）合到具体的（de）实施（shī）程（chéng）序中，才能发挥标准的真正作用。

获得认证证书不是（shì）较终目的，建立有责、有序、有（yǒu）效的信息安全管理（lǐ）体系，提高员（yuán）工的信（xìn）息安全意识，不断获取并运用先进的管理（lǐ）方法和（hé）技术手段才能使企业的信息（xī）安（ān）全管理水（shuǐ）平得以持（chí）续的发展和提升。