信息安全 (Information security): 是指信息（xī）的（de）保密性 (Confidentiality) 、完整（zhěng）性 (Integrity) 和可用（yòng）性 (Availability) 的保持（chí）。

•  保密性：为保（bǎo）障信息（xī）仅（jǐn）仅为那（nà）些（xiē）被（bèi）授权使（shǐ）用的人获取。

 信息的保密性（xìng）是（shì）针对信息被允许访问（ Access ）对象的多少而不（bú）同，所有人（rén）员都可以（yǐ）访问的（de）信息为（wéi）公开（kāi）信（xìn）息，需要限（xiàn）制（zhì）访（fǎng）问的信（xìn）息一（yī）般为敏感信息或（huò）秘密（mì），秘（mì）密可以根据信（xìn）息的重要性（xìng）及保（bǎo）密要求分（fèn）为不同的密级，例如（rú）国家根据秘密（mì）泄露对国家经济、安全利（lì）益（yì）产生的影响（后（hòu）果）不同，将国家秘密分为秘密、机密和绝（jué）密三个等级，组织可根据其（qí）信息安全的实（shí）际，在符（fú）合《国家（jiā）保密法》的（de）前（qián）提下将其信息划分为不同（tóng）的密级；对于（yú）具体（tǐ）的信息的（de）保密（mì）性有时效性，如秘密到期（qī）解密等。

 •  完整性：为保护信（xìn）息及其处（chù）理方法的准确性和完整性。

信（xìn）息完整性一方面（miàn）是指信息（xī）在利用（yòng）、传输、贮存等过程中不被篡改、丢失、缺损等，另一方（fāng）面是指信息处理的方法（fǎ）的正确性。不正当的操作，如误删（shān）除文件，有可能造成重（chóng）要文（wén）件（jiàn）的丢失。

 •  可用性：为保障授权使用人（rén）在需要时可以获取信息和使用（yòng）相关的资产。

信息（xī）的可用性是指信息（xī）及相关的信息资产在授权人需要（yào）的时候，可以立即获（huò）得。例如通信（xìn）线路中断故障（zhàng）会造成信息的在一段（duàn）时间内不可用，影响正（zhèng）常的商业运作（zuò），这是（shì）信息可用性的破坏。不同类型的信息及（jí）相（xiàng）应资（zī）产的信（xìn）息安全在保（bǎo）密性、完整性及可用性方面关注点（diǎn）不同，如组织（zhī）的专有技术（shù）、市场营销（xiāo）计划等商业（yè）秘密对（duì）组织来讲保（bǎo）守机（jī）密尤其重要；而对（duì）于工业自动控制系（xì）统，控制（zhì）信息（xī）的完整性相对（duì）其保密性重要得多。

为什（shí）么需要信息（xī）安（ān）全？

信息、信（xìn）息处理过程及对信息（xī）起支持作用（yòng）的（de）信（xìn）息系统和信（xìn）息网络都是重（chóng）要的（de）商务资产（chǎn）。信息的保密性（xìng）、完整性和（hé）可用性对保持竞争优（yōu）势、资金流（liú）动、效益、法律符（fú）合性和商业形象都是至关重要的。然（rán）而，越来越多的（de）组织及其信息系统和网络面临（lín）着包括计算机诈（zhà）骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机（jī）入侵、 Dos 攻击等手段造成的信息灾（zāi）难已变得更加（jiā）普遍 , 有计划（huá）而不易被察觉。组织对信（xìn）息系统和信息服务的（de）依赖意味着更易受到安全威胁（xié）的破坏，公共和私人网络的互连及信息（xī）资源的（de）共享增（zēng）大了实现访问控制的（de）难度。许多信息系统本（běn）身就（jiù）不是按照安全（quán）系统的要（yào）求来设（shè）计（jì）的，所以仅依靠技术手段来实现信息安全有其局（jú）限（xiàn）性，所（suǒ）以信息安全的实现须得到管理和程序控制的适当支持（chí）。确定应采取（qǔ）哪些控（kòng）制方式则需要周密计划，并注意细节。信息（xī）安（ān）全管理至少需（xū）要组织中的所有雇员的（de）参与，此外还需要供应商、顾客或股东的参与和信（xìn）息安全的专家建议。在信（xìn）息（xī）系统设计阶段就将安全（quán）要求和控制（zhì）一（yī）体化考虑（lǜ），则成本会更低、效率会更高。

 BS7799的（de）信息管理过程：

①确（què）定信（xìn）息安（ān）全管理方针。

②确定 ISMS( 信息（xī）安全管（guǎn）理体系) 的（de）范围

③进行风（fēng）险（xiǎn）分析。

④选择控制目标并进行控制。

⑤建（jiàn）立业务（wù）持续计划。

⑥建立并实施安全管理体系。

 建（jiàn）立信息安全（quán）管理体系的作用（yòng）：

 任何组织，不论它在信息技（jì）术方（fāng）面如（rú）何努力以（yǐ）及采纳如何新的信息安全技术，实（shí）际上在信息安全管理（lǐ）方面都（dōu）还存在（zài）漏洞，例如：

· 缺少（shǎo）信息安全管理（lǐ）论坛，安（ān）全导向不明确，管理支持不明显； 

· 缺（quē）少跨部门的（de）信息安（ān）全协调（diào）机（jī）制； 

· 保护（hù）特定（dìng）资产以及完成特定（dìng）安全过程的职（zhí）责还不明确； 

· 雇员信息安全意识薄弱，缺少防范（fàn）意识，外（wài）来（lái）人员很（hěn）容易直（zhí）接进入生产（chǎn）和（hé）工作场（chǎng）所（suǒ）； 

· 组织信（xìn）息系统管（guǎn）理制度（dù）不够健全； 

· 组织信息系（xì）统主机房安全（quán）存在隐患（huàn），如：防（fáng）火设施存在问（wèn）题（tí），与危险品仓库同处一幢办公楼等； 

· 组（zǔ）织信息系统备份设备仍有欠缺； 

· 组织信（xìn）息（xī）系统安全防范技（jì）术投入欠缺； 

· 软件知识产权保护欠缺； 

· 计算机房、办公（gōng）场所等物（wù）理防范措施欠（qiàn）缺； 

· 档案（àn）、记录等缺少（shǎo）可靠贮存场所； 

· 缺少（shǎo）一旦发生意外时的（de）保证生产经（jīng）营连续性的措施和计划； 

        ……等等。

为什么要建立和实（shí）施ISO27001信息安全管（guǎn）理体系认证（2）

其实，组（zǔ）织可以参照（zhào）信息安全管理模型，按（àn）照（zhào）先进（jìn）的信息安全管理（lǐ）标准 BS7799 标（biāo）准建（jiàn）立（lì）组（zǔ）织完整的信息安全（quán）管理体系并实施与保持，达（dá）到（dào）动态的、系（xì）统的、全（quán）员参与、制度（dù）化的、以预防（fáng）为主的信息安全管理方式（shì），用较低（dī）的成（chéng）本（běn），达到可接受（shòu）的信息安全水平，就（jiù）可以从根本上保（bǎo）证业务的连（lián）续性（xìng）。组织建立、实（shí）施与（yǔ）保持信息安全管理（lǐ）体系将会产生（shēng）如下作用（yòng）：

· 强化员工的（de）信息安全意识，规范组织信息安（ān）全行为； 

· 对组织（zhī）的关键（jiàn）信息资（zī）产进行（háng）全面系（xì）统的（de）保护，维持竞争优势； 

· 在信息（xī）系统受到侵袭时，确（què）保业务持续开展（zhǎn）并将损失（shī）降（jiàng）到较低程（chéng）度； 

· 使组织的生（shēng）意伙伴和（hé）客户（hù）对组织充（chōng）满信心； 

· 如果通过（guò）体系认证，表明体系符合（hé）标（biāo）准，证（zhèng）明组织有能力保障重（chóng）要（yào）信息，提（tí）高组织的名度与（yǔ）信任度； 

· 促使管理层坚（jiān）持贯彻（chè）信息安全保障体系。 

BS7799标（biāo）准概述：

· 1995 年，英国贸工部根据（jù）英国国（guó）内企业（yè）对信息安全（quán）日益高涨的（de）呼声（shēng），组织（zhī）大企（qǐ）业的（de）信息安全经理们，制定了世（shì）界上第一（yī）个信息安全管理体系（xì）标准（zhǔn） BS7799-1 ： 1995 《信息安全管理实施规则》，作（zuò）为工商业和大、中、小型（xíng）组织（zhī）实施（shī）信息安全管理的指南。由于该标准采用建议（yì）和（hé）指导方式编写，因（yīn）而不宜（yí）作为认证（zhèng）标（biāo）准使用。 

· 1998 年（nián），为了适应第三方认证的（de）需要，英（yīng）国又制定了第一个信息安全（quán）管（guǎn）理体系认（rèn）证标准 --BS7799-2 ： 1998 《信息安全管（guǎn）理体系规范》，作为对（duì）一个组织的全部（bù）或部分信息安全管理体系进行（háng）评审认证的（de）依据标（biāo）准。 

· 1999 年，鉴于计算机和信息处（chù）理技术，尤其是（shì）网络和（hé）通信（xìn）领（lǐng）域应用的（de）迅速（sù）发展，英（yīng）国又对信息安全管（guǎn）理体系标准（zhǔn）进（jìn）行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新（xīn）修订的 1999 版（bǎn）标准进一步强（qiáng）调了组织在商务（wù）工作中所涉及的信息安全和信息安全责任。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一对配套标准（zhǔn）， BS7799-1 ： 1999 为如何（hé）建立和实施（shī）符合（hé） BS7799-2 ： 1999 标（biāo）准要（yào）求的信息安全管理体系提供了较佳的应用（yòng）建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已经（jīng）被 ISO/IEC 正式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术（shù）—信息安全管理实施规则（zé）》，另外（wài）， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝（lán）本修订（dìng）后成（chéng）为可用（yòng）于认（rèn）证（zhèng）的 ISO/IEC 的《信息（xī）安全管理体系规范》。 

信息安全认证是实（shí）现信（xìn）息安全目标的（de）较佳途径（jìng）：

BS7799-2：2002信息（xī）安全（quán）管理体系规范向组织提出了（le）一系列认证的要求，在总（zǒng）则（zé）中（zhōng）提出组织应建立并保持（chí）一个文件化的（de）信息安（ān）全（quán）管理体（tǐ）系（xì），阐述被保护的资产（chǎn）、组织风险管理的渠道（dào）、控制目标及控制（zhì）方式和需要的保证（zhèng）等（děng）级；通过建立管理架构并加（jiā）以实施来达到识别控制目标和控制方式，并形成文件（jiàn）和记录。

BS7799-2：2002的控制细则包括10个方（fāng）面： 　

· 安全方（fāng）针：为（wéi）信息安全（quán）提供管理（lǐ）指导和支持（chí）； 

· 组织安全（quán）：建立信息安全架构，保证组织的内部管理（lǐ）；被第（dì）三方（fāng）访问或外协（xié）时，保（bǎo）障组织（zhī）的信息安（ān）全； 

· 资产的归类（lèi）与控（kòng）制：明确资产责（zé）任，保持对组织资（zī）产的适当保护；将（jiāng）信（xìn）息（xī）进行归类（lèi），确保信息资产受到适当程度的保护； 

· 人员安全（quán）：在工作说（shuō）明和资（zī）源方面（miàn），减少（shǎo）因人为错误（wù）、盗窃、欺诈和设施（shī）误用（yòng）造成的风险；加强用户培训，确保用户清楚知道信息安全的危（wēi）险性（xìng）和相关事项（xiàng），以（yǐ）便在他们的日常（cháng）工作中支持组织的安（ān）全方（fāng）针（zhēn）；制定安全（quán）事故或故障的反应程序，减（jiǎn）少由安全事（shì）故和故障造成的损失（shī），监控安（ān）全事件并从这种事件中吸取教训； 

· 实（shí）物与环境安全：确定安全区域，防（fáng）止非授权访问、破坏、干（gàn）扰商务场（chǎng）所和信息；通过保障设（shè）备（bèi）安全，防止资产的丢失（shī）、破坏（huài）、资产危害及商（shāng）务活动的中断；采用（yòng）通用（yòng）的控制（zhì）方式（shì），防止信息或信息处理（lǐ）设施损坏或失窃； 

· 通信和操作方式管理：明确操作程序及其（qí）责（zé）任，确保信息处理设施的正确、安全操作；加强（qiáng）系（xì）统策划与验收，减少系统失效风险；防范恶意软件以保持软（ruǎn）件和信息的（de）完整性；加强内务管理（lǐ）以（yǐ）保（bǎo）持信息处理和通讯服务的完（wán）整（zhěng）性和有效性通过 ; 加强（qiáng）网络管（guǎn）理确保网络（luò）中（zhōng）的信息安全及其辅（fǔ）助（zhù）设（shè）施（shī）受到保护；通过（guò）保护（hù）媒体（tǐ）处理（lǐ）的安全（quán） , 防止资产损坏和商（shāng）务（wù）活动的（de）中断（duàn）；加（jiā）强信（xìn）息和软件（jiàn）的交换的管理（lǐ），防止组织间在交换（huàn）信息时发生丢失、更（gèng）改和（hé）误用； 

· 访问控制：按照访问控制的商务要求，控制（zhì）信息访问；加（jiā）强用户访问管理，防（fáng）止非授权访问信息系统；明确用户职责，防（fáng）止非授（shòu）权的用户（hù）访问；加强网络（luò）访问（wèn）控（kòng）制（zhì），保护网络服务程序；加强操（cāo）作系统访（fǎng）问控制 , 防（fáng）止（zhǐ）非授权的计算机访（fǎng）问；加强（qiáng）应（yīng）用访问控制，防（fáng）止（zhǐ）非授权（quán）访问系统中的信息；通过监（jiān）控系统的访问（wèn）与使用，监测非授权行（háng）为；在移动式计算和电传工作方面 , 确保使用（yòng）移动式计算和电传工作设施的信息（xī）安全； 

· 系统开发与维护：明确（què）系统（tǒng）安全要（yào）求（qiú），确（què）保（bǎo）安（ān）全性已构成信息系统（tǒng）的一部份（fèn）；加强应用系（xì）统（tǒng）的安（ān）全，防止应用（yòng）系统用户数（shù）据的丢失、被修改或误用；加（jiā）强密（mì）码技术控（kòng）制，保护信息的保（bǎo）密性、可靠性（xìng）或完整性；加强系统文件的安全，确保 IT 方案及其支持活（huó）动以（yǐ）安全的（de）方式进行；加强开发和支（zhī）持过程的安全，确保应用系（xì）统软件（jiàn）和信息的安全； 

· 商（shāng）务连续性管理：防止商务活动的中（zhōng）断及保护关键商务过程不受重大失（shī）误或灾难事故的（de）影响； 

· 符合（hé）：符合法律法规（guī）要求，避免刑法、民法、有关法令法规或合同约定（dìng）事宜（yí）及（jí）其他安（ān）全要（yào）求的（de）规定相抵触；加强安全方针和技（jì）术符合（hé）性评（píng）审，确（què）保体系按（àn）照组织的安全方针及标准执行；系统审核考虑（lǜ）因素，使效果较（jiào）大化 , 并使系统（tǒng）审核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实（shí）现信息安全认证（zhèng）所需的各项措（cuò）施的详（xiáng）细指（zhǐ）导（dǎo），具有（yǒu）很强的可操作性和指导性。

归根结底，信息安全工作（zuò）的目的就（jiù）是在法律、法规、政（zhèng）策（cè）的支持与（yǔ）指导下，通（tōng）过采用合适的安全技术与安全管理措施（shī），提（tí）供安全需求的保证，而 BS7799 信息安全认证标准正（zhèng）是总和了（le）这些要求。组织可（kě）以根据（jù）自身特点，在（zài） ISO/IEC 17799 指导下，实现信（xìn）息安全的要求。

 ISO27001：2005 《信息安全管理（lǐ）体系要（yào）求》

 ISO27001 ： 2005 《信（xìn）息安全管理体（tǐ）系要（yào）求（qiú）》是关于信（xìn）息安全（quán）管理的标准，是标准不是方法，达（dá）到这些标准的要求并不难，重要的是用什么方法去实现。企业应（yīng）将实施标准作为改善内部管理的一次机会，不（bú）应该将标准（zhǔn）做为一种简单的模式对现有（yǒu）流程运作（zuò）进行套用，应对现有的组织运作流程（chéng）进行详细分析，有针对性地（dì）设计并（bìng）改善现有管理体系、改善薄弱环节、改善运（yùn）作流（liú）程及内部（bù）沟通，并有效地将先进的管理思想融合到（dào）具体的实施程（chéng）序中，才（cái）能发挥标准的真正作用。

获得认证证书不（bú）是较终目的，建立有责、有序、有效的（de）信息安（ān）全管理体系，提高员工的信息安全意识（shí），不断获取并运用（yòng）先（xiān）进（jìn）的管理方法和技（jì）术手段才能使（shǐ）企业的（de）信息安全管（guǎn）理水平（píng）得以（yǐ）持续的（de）发展和（hé）提升。