信息（xī）安全（quán） (Information security): 是指信息的保密（mì）性 (Confidentiality) 、完整（zhěng）性 (Integrity) 和可用性（xìng） (Availability) 的保持。

•  保密性：为（wéi）保障（zhàng）信息仅仅为那些（xiē）被（bèi）授权（quán）使（shǐ）用的人获取（qǔ）。

 信息的保密（mì）性（xìng）是针对（duì）信息被允许访问（ Access ）对象的多少而不同，所有人员都可以访问的信息（xī）为公（gōng）开信（xìn）息，需要限制访问的信息一（yī）般为敏感信息或秘密，秘（mì）密（mì）可以（yǐ）根据（jù）信息（xī）的重要性及保密要求分为不同的密级，例如国家根据秘密泄（xiè）露对国家经济（jì）、安全利益产生的影（yǐng）响（后果）不同，将国（guó）家秘密分为秘（mì）密（mì）、机密和绝密三（sān）个等级，组织可根据其信息安全的实（shí）际，在符合《国家保（bǎo）密法（fǎ）》的（de）前提下将其信（xìn）息划分为不同的（de）密（mì）级；对于具体的信息的（de）保密性有（yǒu）时效（xiào）性（xìng），如秘密到（dào）期解（jiě）密等。

 •  完整性：为保（bǎo）护（hù）信息及其（qí）处理方（fāng）法（fǎ）的（de）准（zhǔn）确性和完整（zhěng）性（xìng）。

信息完整性一（yī）方面是指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等，另一方（fāng）面是指信息（xī）处理的方法的正确性（xìng）。不正当的操作，如（rú）误删除文件，有可（kě）能造成重要（yào）文件的（de）丢失。

 •  可用性：为保障授权（quán）使用（yòng）人在（zài）需要时可（kě）以获（huò）取（qǔ）信息和使用相关的资产。

信息的可用性是（shì）指信息及相关的信息资产（chǎn）在授权（quán）人需要的时候，可（kě）以（yǐ）立即（jí）获得（dé）。例如（rú）通信线路中断故障会造成信息的在一段时间内不（bú）可用，影响（xiǎng）正常的商（shāng）业运（yùn）作，这是（shì）信息可用（yòng）性的破坏。不（bú）同类型的信息（xī）及相（xiàng）应资产的信（xìn）息安（ān）全在保密性（xìng）、完整性及可用（yòng）性方面关（guān）注点不同，如组织（zhī）的专有技术、市（shì）场（chǎng）营（yíng）销计划等商业（yè）秘密对组（zǔ）织来讲保（bǎo）守机密尤其重要（yào）；而（ér）对于工业自动控制系统，控制（zhì）信息的完（wán）整性相对其保（bǎo）密性重要（yào）得（dé）多。

为什么需要信息安全？

信息、信息处理过程及对（duì）信（xìn）息起（qǐ）支（zhī）持（chí）作用的（de）信息（xī）系统（tǒng）和信息网络（luò）都是（shì）重要（yào）的商务（wù）资产。信息的保密性（xìng）、完整性（xìng）和可用性对保持竞争优（yōu）势、资（zī）金流动、效益（yì）、法律符合性和商业形象（xiàng）都是至关重要的。然而（ér），越来越多的组织及（jí）其信息系统和网络面（miàn）临着包（bāo）括计算机诈骗（piàn）、间谍、蓄意破坏、火灾（zāi）、水（shuǐ）灾等大范（fàn）围的（de）安全威胁，诸如计（jì）算机病毒、计（jì）算机入（rù）侵、 Dos 攻（gōng）击（jī）等手段造成的（de）信（xìn）息灾难（nán）已变得更加普遍 , 有计划（huá）而不易（yì）被察觉。组织对信息系统和（hé）信（xìn）息服（fú）务的依赖意味着更易（yì）受（shòu）到安全威胁的破坏（huài），公（gōng）共和私人网（wǎng）络的互连及信息资源的共享增（zēng）大了实现访问控制（zhì）的难度。许多信息系统本（běn）身就不是按照（zhào）安全系（xì）统（tǒng）的要求来设计的，所以仅依靠技术手（shǒu）段（duàn）来实现信息安全有其局限性，所以信息（xī）安（ān）全的实现须（xū）得到管理和程序控制的适（shì）当（dāng）支持。确定应（yīng）采取哪（nǎ）些控制方式则需要周密计划，并（bìng）注意细节（jiē）。信息安全管理至少需（xū）要组织中的（de）所有雇员的参（cān）与，此外还（hái）需要供应商、顾客或（huò）股东的参与和（hé）信息安全的专家建议。在（zài）信（xìn）息系统设计阶段就将（jiāng）安（ān）全要求和控制一体化考虑，则成本会更低、效率会更高。

 BS7799的信息（xī）管理过（guò）程：

①确定信（xìn）息安全（quán）管理方针（zhēn）。

②确定 ISMS( 信（xìn）息（xī）安全管理体（tǐ）系) 的范围

③进行（háng）风险（xiǎn）分析。

④选择控（kòng）制（zhì）目标并（bìng）进行控制。

⑤建立业务持（chí）续计划。

⑥建立并实施（shī）安全管理体系。

 建立信息安全管理体系的作用：

 任何组织，不论（lùn）它在信息技术方面如（rú）何努力以及采纳（nà）如何新的信息（xī）安全技术，实际上在（zài）信息安全（quán）管理方面（miàn）都还存在（zài）漏洞（dòng），例如：

· 缺少信息（xī）安（ān）全管理（lǐ）论坛，安全导向（xiàng）不明确，管理支持不明显； 

· 缺少跨部门的信息安全协调机（jī）制； 

· 保（bǎo）护特定资产以（yǐ）及完成特定安全过程的（de）职责还不明确（què）； 

· 雇员（yuán）信息安全（quán）意（yì）识薄（báo）弱，缺少防范意识，外来人员（yuán）很（hěn）容易直接进入（rù）生（shēng）产和工作场所； 

· 组织信息系统（tǒng）管理制（zhì）度不够健全； 

· 组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一（yī）幢办公楼（lóu）等； 

· 组（zǔ）织（zhī）信息系统备份（fèn）设（shè）备仍（réng）有（yǒu）欠缺； 

· 组织信（xìn）息系统安全防范（fàn）技术投入欠缺； 

· 软件知（zhī）识（shí）产权（quán）保护（hù）欠缺； 

· 计算机房、办公场所等物理防（fáng）范措施欠缺； 

· 档案、记录等缺少（shǎo）可靠贮存场（chǎng）所； 

· 缺少一旦发生意外时的保证生产（chǎn）经营连续性（xìng）的措施和计划； 

        ……等等。

为什么要（yào）建立和实施ISO27001信息（xī）安全（quán）管理体系认证（2）

其实，组织可以参照信（xìn）息安全管理模型，按照先进的信息安全管理标准 BS7799 标准建立（lì）组织完（wán）整的信（xìn）息安全管理体系并实（shí）施（shī）与（yǔ）保（bǎo）持，达到（dào）动态（tài）的、系统（tǒng）的、全（quán）员参与、制度化（huà）的、以预防为主（zhǔ）的信息（xī）安（ān）全管理方式，用（yòng）较低的成本（běn），达到可（kě）接受（shòu）的信息安（ān）全（quán）水平，就可以（yǐ）从根本（běn）上保证业务的连续（xù）性（xìng）。组织建立、实施与（yǔ）保持信息安全（quán）管理（lǐ）体（tǐ）系将会产生如下作用：

· 强化员工的信（xìn）息安全意识（shí），规范组织（zhī）信息安全行为； 

· 对组织的关键（jiàn）信息资（zī）产进行（háng）全面系统的保护，维（wéi）持竞争（zhēng）优势（shì）； 

· 在（zài）信息系统受到侵袭时，确保业务持续开（kāi）展并将损（sǔn）失降（jiàng）到较（jiào）低程度； 

· 使组织的生意伙伴和客（kè）户对组（zǔ）织充满（mǎn）信（xìn）心； 

· 如果通（tōng）过体系认证，表明体系符合标（biāo）准，证明组织有能力保障重要（yào）信息，提高（gāo）组织的名度与信任度（dù）； 

· 促使管（guǎn）理层坚持（chí）贯彻信息（xī）安全保障体系。 

BS7799标准概述（shù）：

· 1995 年，英国贸工部根（gēn）据英（yīng）国国内企业对信息安全日益高涨的呼声，组织（zhī）大企业的（de）信息（xī）安（ān）全（quán）经理们，制定了世界上（shàng）第一（yī）个（gè）信息安全管理（lǐ）体（tǐ）系标准 BS7799-1 ： 1995 《信息安全管理实施规（guī）则》，作为工（gōng）商业和大、中、小型组织实施信息安全管理的（de）指南。由（yóu）于该标（biāo）准（zhǔn）采用（yòng）建议和指（zhǐ）导方（fāng）式编写，因而不宜（yí）作为认（rèn）证标准使用。 

· 1998 年，为了适应第三（sān）方认证（zhèng）的（de）需（xū）要，英国（guó）又制（zhì）定了第一（yī）个信息安全管（guǎn）理体系认证标准 --BS7799-2 ： 1998 《信息安全（quán）管理体（tǐ）系规范》，作为对一个组织的全部（bù）或部分信（xìn）息安全管理体系进行评审认证的依据（jù）标（biāo）准。 

· 1999 年，鉴于计（jì）算机（jī）和信（xìn）息处理技术，尤其是网络和通信领域应（yīng）用的迅速发展，英国又对（duì）信息（xī）安全管（guǎn）理体系标准进行了修订。修订（dìng）后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别取代了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步（bù）强调了组织在（zài）商务工作中所涉及的信息安全和信息安全责（zé）任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建立和（hé）实施符合 BS7799-2 ： 1999 标准要求的信（xìn）息安全管理体系提供（gòng）了（le）较佳的应用建（jiàn）议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已经（jīng）被 ISO/IEC 正式（shì）采纳成（chéng）为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实（shí）施规则》，另外（wài）， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本修订后成为（wéi）可用于认证（zhèng）的 ISO/IEC 的《信息（xī）安全管（guǎn）理体系规范》。 

信（xìn）息安（ān）全认证（zhèng）是实现信息（xī）安全目标（biāo）的（de）较佳途（tú）径：

BS7799-2：2002信息安全管理体系规范向（xiàng）组织提出（chū）了一系列认证的要求，在总则中提出组织应建立并保持一个文（wén）件化的信息安全管理体系，阐述被（bèi）保护的资产、组织（zhī）风险管（guǎn）理的渠道（dào）、控制目标及（jí）控（kòng）制方式和需要的（de）保证等级；通过建立管理架（jià）构并加（jiā）以实施来（lái）达到识别控制目标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针：为信息安全（quán）提供管（guǎn）理指导和支持； 

· 组织（zhī）安全：建（jiàn）立信息安全架构，保证组织（zhī）的内部管理；被（bèi）第三方访问或外协时，保障组织的信息安全； 

· 资产的（de）归类与（yǔ）控制（zhì）：明确（què）资产责任（rèn），保持（chí）对（duì）组织资产的适当保护；将信息进行（háng）归类，确保信息资产受到适当程度的保（bǎo）护； 

· 人（rén）员（yuán）安（ān）全：在工作说明和（hé）资源方面，减少因人为错误、盗窃、欺诈和设施误（wù）用造成的风险；加强用（yòng）户培（péi）训，确保用（yòng）户清楚（chǔ）知道信息（xī）安全（quán）的危（wēi）险（xiǎn）性和相关事项，以便在他们的（de）日（rì）常工作中支持组织的（de）安全（quán）方针；制定（dìng）安全（quán）事故或故障的反应程序，减少由安全（quán）事故和故障造成的损失，监（jiān）控安全事（shì）件（jiàn）并从这种事件中（zhōng）吸取（qǔ）教（jiāo）训； 

· 实（shí）物（wù）与环境安（ān）全：确定安全区域，防止非授权访问（wèn）、破（pò）坏、干扰商务场所（suǒ）和（hé）信息；通过（guò）保障（zhàng）设备（bèi）安全，防止（zhǐ）资（zī）产的丢（diū）失、破坏、资产危害及商（shāng）务活动的中断；采用通用的控制方式，防止信息或信息处（chù）理设施损坏或失窃； 

· 通信和操作方式管（guǎn）理：明确操作程序（xù）及其责任（rèn），确保信息处理设施（shī）的正确、安全操作（zuò）；加强系统策划（huá）与验收，减（jiǎn）少（shǎo）系统失效风险；防范恶意软件（jiàn）以（yǐ）保持（chí）软件（jiàn）和信息的完整性；加强内务管理以保持信息处理和通讯服务的完整性和有效性通（tōng）过（guò） ; 加强（qiáng）网络管理确保网（wǎng）络（luò）中（zhōng）的信息安全（quán）及其辅助设施（shī）受（shòu）到保护；通过保护媒体处理的安全（quán） , 防止资产损坏和商务活动（dòng）的中断；加强（qiáng）信（xìn）息和软件的交换（huàn）的管理，防止组织间在交（jiāo）换信息（xī）时发生丢失（shī）、更改和误用； 

· 访问控（kòng）制：按照访问控制（zhì）的商（shāng）务要求，控制信息访问（wèn）；加（jiā）强（qiáng）用户访问（wèn）管理，防止非授权访问信息系（xì）统；明确用（yòng）户职责，防止（zhǐ）非授权的用户访问（wèn）；加强网络访问控制，保护网络服务程序；加强操作系统访问控制 , 防止非授权的计算机（jī）访（fǎng）问（wèn）；加强应用访问控制，防止非授（shòu）权访（fǎng）问系统中（zhōng）的信（xìn）息；通过监控系（xì）统的访问与（yǔ）使用，监测非授（shòu）权行为；在移动式计算和电（diàn）传工作（zuò）方（fāng）面 , 确保使用移（yí）动（dòng）式计（jì）算（suàn）和电传工作设施的（de）信息（xī）安全； 

· 系统开发与维护：明（míng）确系统安（ān）全（quán）要求，确保安全（quán）性已（yǐ）构成信息系统的一部份；加（jiā）强应用系（xì）统的安全（quán），防止应用系统用（yòng）户数据的（de）丢（diū）失（shī）、被修改或误用；加强密码（mǎ）技术控（kòng）制，保护（hù）信息的保密性、可靠（kào）性或完整性；加强系（xì）统文件的安全，确保 IT 方案及其（qí）支持（chí）活（huó）动以安全（quán）的方式进行；加强开（kāi）发和支（zhī）持过程的安（ān）全（quán），确保应用系统软件（jiàn）和信息的安全； 

· 商务（wù）连续性管理（lǐ）：防止商务活动的（de）中断及（jí）保护（hù）关键商（shāng）务过程不受重大（dà）失误或灾（zāi）难事故的影响（xiǎng）； 

· 符合：符合法律法（fǎ）规要求，避免刑法、民法、有关法令法（fǎ）规或合（hé）同约定事宜及其（qí）他（tā）安全要求的规定相抵触；加强安（ān）全方针和技术符合（hé）性评（píng）审，确（què）保（bǎo）体系（xì）按照组织的安全方针及标准（zhǔn）执行；系统审核（hé）考虑因素，使效果（guǒ）较大（dà）化 , 并使系统审核过程的（de）影响较小化。 　 

在国际（jì）标准（zhǔn） ISO/IEC17799 给出了为实现信息（xī）安（ān）全认证所（suǒ）需的各项措施的详（xiáng）细指导，具有（yǒu）很强的可（kě）操作性和指导性。

归根结（jié）底，信息安全（quán）工作的（de）目的就是在法（fǎ）律、法规、政策的支持与指导下，通过采（cǎi）用合适的（de）安全技术与（yǔ）安全管理措（cuò）施，提供安（ān）全（quán）需求的保证，而 BS7799 信息安全认证标（biāo）准（zhǔn）正是总和（hé）了（le）这些要（yào）求。组织可以根据自身特点（diǎn），在 ISO/IEC 17799 指导下，实现信（xìn）息安全的要（yào）求。

 ISO27001：2005 《信息安全（quán）管理体系要求》

 ISO27001 ： 2005 《信息安（ān）全管理体系要求》是关（guān）于信（xìn）息（xī）安全管理的标准，是（shì）标准不是方法，达（dá）到（dào）这些标准的要求（qiú）并不难，重要的是用什么方法（fǎ）去实（shí）现。企业应将实（shí）施标（biāo）准作为改善内部（bù）管理的一次机会，不（bú）应该将标准做为一种简单（dān）的模式对现有（yǒu）流程（chéng）运作进（jìn）行套用，应对现有的组织运作流（liú）程（chéng）进行详细（xì）分析，有针对性地设（shè）计并改（gǎi）善现有管理体系、改善薄弱环（huán）节、改善运作流程及内部沟（gōu）通，并有效（xiào）地将先进的管理（lǐ）思想融合到具体的实施程（chéng）序中，才（cái）能发挥标准的真正作用。

获得（dé）认（rèn）证证书不是较终目的，建立有责、有序、有效的（de）信息安（ān）全管理体系，提高员工的信息安全意识，不断获取并（bìng）运用先进的管理方法（fǎ）和技术手段才能使（shǐ）企业的（de）信息安全管理水平得以持续的发展和提升。