信息安全（quán） (Information security): 是指信息的保（bǎo）密性 (Confidentiality) 、完整性 (Integrity) 和可用（yòng）性 (Availability) 的保持。

•  保密性（xìng）：为保（bǎo）障信息仅仅为那些被授（shòu）权（quán）使（shǐ）用的人获取（qǔ）。

 信息的（de）保密（mì）性是针对（duì）信息（xī）被允许访问（wèn）（ Access ）对（duì）象的多少而（ér）不同，所有人员都（dōu）可（kě）以（yǐ）访问的（de）信息为公开信（xìn）息，需（xū）要限制（zhì）访问的信息（xī）一般为敏感（gǎn）信息或秘密，秘密可（kě）以根据信息的重要性及保密要（yào）求分为（wéi）不同的（de）密级（jí），例如国家根据秘密（mì）泄露（lù）对国（guó）家经（jīng）济、安全利益产生的（de）影响（xiǎng）（后果）不同，将国家秘密分为秘密、机密和绝密（mì）三（sān）个等级，组织（zhī）可根据其信息（xī）安全的实际，在符合《国家保密法》的前（qián）提下将其（qí）信息划分为不同的密级；对于具体的信息的保密性有时效性，如秘密到期解密等（děng）。

 •  完整性：为保护信息及其处理方法（fǎ）的准确性和完整（zhěng）性。

信息完整性一方面（miàn）是指信息在利用、传输、贮存等过程中不被（bèi）篡改、丢失、缺损等，另一方面是指信息处理的方法的（de）正确性。不正当的操作，如误删除文件，有可能造成重要文件的丢失。

 •  可（kě）用性（xìng）：为保（bǎo）障授权（quán）使用人在需要时可以获（huò）取信息（xī）和使（shǐ）用（yòng）相关的资产。

信息的可用性（xìng）是（shì）指（zhǐ）信息（xī）及相关的（de）信息资产在授权人需要的时候，可以立（lì）即获得。例如通信线路中（zhōng）断（duàn）故障（zhàng）会造成信息的在一段时间内不（bú）可（kě）用，影响正常（cháng）的商业运作，这是信（xìn）息可用性的破坏。不同类（lèi）型的信（xìn）息及相（xiàng）应资产（chǎn）的信（xìn）息安（ān）全（quán）在（zài）保密性、完整性及可用性方（fāng）面关注点不同，如组织的专有技术、市场营销计划等商业（yè）秘密（mì）对组（zǔ）织来讲保守（shǒu）机密尤其重要；而对于工（gōng）业自（zì）动控制系统，控制信（xìn）息的完整（zhěng）性相（xiàng）对其（qí）保密性重要得多。

为什么需要信（xìn）息安全（quán）？

信息（xī）、信息处理过程及对信息起支（zhī）持作用的信息系统和（hé）信息网络都是（shì）重要的商务资产（chǎn）。信（xìn）息的保密性、完（wán）整性（xìng）和（hé）可用性对保持（chí）竞（jìng）争优势、资金流（liú）动、效益、法律符合性和商业（yè）形（xíng）象都是至关重（chóng）要的。然而，越来越多的组织及（jí）其信息（xī）系统和网络面（miàn）临着（zhe）包括计算机（jī）诈骗（piàn）、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计（jì）算机病毒、计算机入侵、 Dos 攻（gōng）击等手段造（zào）成的信息灾难已变得更加普遍 , 有（yǒu）计（jì）划而不易被察觉。组织对信息（xī）系统（tǒng）和信（xìn）息（xī）服（fú）务（wù）的（de）依赖意味（wèi）着更易受（shòu）到安全威胁的（de）破坏，公共和私人网络的互连（lián）及信息资源的共享增大了实（shí）现访问控制的难度。许多（duō）信息系统本（běn）身（shēn）就不是按照安全系统的要（yào）求来设（shè）计的，所以仅依靠技术手段来实现信息安全（quán）有其局限（xiàn）性，所以（yǐ）信息（xī）安全的实现须得到管理和程序控制的适（shì）当支持。确定应采（cǎi）取哪些控制方式则需要周密计划（huá），并（bìng）注意细节。信息（xī）安（ān）全管理至少需要组织中的所有（yǒu）雇（gù）员的参与，此外还需要供应商、顾（gù）客或股东的参与（yǔ）和信息安全的（de）专家建议。在信息系统设计阶段（duàn）就将安全要求和（hé）控制一体化（huà）考虑，则成（chéng）本会更（gèng）低、效率会更（gèng）高。

 BS7799的信息管理过程（chéng）：

①确定信息安全管理方针。

②确定 ISMS( 信息安全管（guǎn）理体系) 的范围

③进（jìn）行风（fēng）险分（fèn）析。

④选择（zé）控制（zhì）目标（biāo）并（bìng）进（jìn）行控制。

⑤建（jiàn）立业务持（chí）续计划（huá）。

⑥建（jiàn）立（lì）并（bìng）实施安全（quán）管理体系。

 建立信息安全（quán）管理体（tǐ）系（xì）的（de）作用：

 任何组织，不论（lùn）它在信息技术（shù）方（fāng）面如（rú）何努（nǔ）力以及采纳如何新（xīn）的（de）信息（xī）安全技（jì）术，实（shí）际上在信息安（ān）全（quán）管理（lǐ）方面都还（hái）存在漏洞，例如：

· 缺（quē）少信（xìn）息安全管理论坛（tán），安全（quán）导向（xiàng）不明确，管理支持不明显； 

· 缺少（shǎo）跨部门的信息（xī）安（ān）全（quán）协调机制（zhì）； 

· 保护特定（dìng）资（zī）产以及完成特定安全过程（chéng）的职责还不明确； 

· 雇员信息（xī）安全意识薄弱，缺（quē）少防范意识，外（wài）来人员很（hěn）容易（yì）直接进入（rù）生产和工作（zuò）场所； 

· 组织信息系统管理制度不够健全（quán）； 

· 组织信息系统（tǒng）主机房（fáng）安全存在（zài）隐（yǐn）患，如（rú）：防火设（shè）施存在问（wèn）题，与（yǔ）危险品仓库（kù）同处一（yī）幢办公楼等； 

· 组织（zhī）信息系统备份设（shè）备仍有欠缺； 

· 组织信息系统安（ān）全（quán）防范技术投入欠缺（quē）； 

· 软件知识（shí）产（chǎn）权保（bǎo）护欠缺； 

· 计算机房、办公场所等（děng）物理防（fáng）范（fàn）措施欠缺； 

· 档案、记录等缺少（shǎo）可靠贮存场（chǎng）所； 

· 缺少（shǎo）一旦（dàn）发生意外时的保证生产经营连续性的措施和计划； 

        ……等等。

为什么要建立和实施ISO27001信息安（ān）全管理体系认证（2）

其实，组织可以参照信息安全管理模（mó）型，按照先进的信（xìn）息安全管理（lǐ）标（biāo）准 BS7799 标准建（jiàn）立组织完整（zhěng）的信息安（ān）全（quán）管理（lǐ）体系并（bìng）实施与保（bǎo）持（chí），达到动态的、系统的（de）、全员（yuán）参（cān）与、制度化的、以预防为主的信（xìn）息（xī）安全管理方式，用较低的成本，达到可接受（shòu）的信息安全水（shuǐ）平，就（jiù）可（kě）以（yǐ）从根本上保证业务的连续性。组织建立、实施与保（bǎo）持信息安全管理（lǐ）体系将会产生如下作用：

· 强（qiáng）化员（yuán）工的信息安全（quán）意识，规范组织信息（xī）安全行为（wéi）； 

· 对组（zǔ）织的关键信息资（zī）产进行全面系统的保护（hù），维（wéi）持竞争优势； 

· 在信息系（xì）统受到侵袭时，确保业务持续开展（zhǎn）并（bìng）将损失降到较低程度； 

· 使组织的生意伙伴和（hé）客（kè）户（hù）对（duì）组织充满信（xìn）心； 

· 如果通过体系认证，表（biǎo）明体系符（fú）合（hé）标准，证明组织有能（néng）力保（bǎo）障重要信（xìn）息，提高组织的名度（dù）与信任度； 

· 促使管理层坚持（chí）贯彻信息安全保障体系。 

BS7799标（biāo）准概述（shù）：

· 1995 年，英（yīng）国贸工部根据英国（guó）国内企业对信息安（ān）全日益高涨的（de）呼（hū）声，组（zǔ）织大企（qǐ）业的信（xìn）息安全（quán）经理们，制定了（le）世界上第一个信息安全（quán）管理体系标（biāo）准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大、中、小型组（zǔ）织实施信息安全管理的指南。由（yóu）于该（gāi）标准采（cǎi）用建（jiàn）议和指导方式编写，因（yīn）而不宜作为认证标准使用（yòng）。 

· 1998 年，为了适应第三方认证的需要，英国又制定了第一个（gè）信息安（ān）全管（guǎn）理体系认证标准 --BS7799-2 ： 1998 《信息安全管理（lǐ）体系规范（fàn）》，作为对（duì）一个组织的（de）全部或部分信息安全（quán）管理体（tǐ）系进行评审认证的依据标（biāo）准。 

· 1999 年（nián），鉴于计算机和信息处理技术，尤其是网（wǎng）络和通（tōng）信领域应用的迅（xùn）速发展，英国又对信息安（ān）全管理体系标准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进（jìn）一步强调了组织在商务工作（zuò）中所涉及的（de）信息安全和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对（duì）配套标准， BS7799-1 ： 1999 为如（rú）何建立和实施符合 BS7799-2 ： 1999 标准要求的信（xìn）息（xī）安全管理体系提（tí）供了较佳的应（yīng）用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国际标（biāo）准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施规则》，另外（wài）， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作（zuò）为蓝本修订（dìng）后（hòu）成为可用于认（rèn）证的 ISO/IEC 的《信息安（ān）全管理体（tǐ）系（xì）规范》。 

信息安全（quán）认（rèn）证是实现（xiàn）信（xìn）息（xī）安全目标的较佳途（tú）径（jìng）：

BS7799-2：2002信（xìn）息安全管（guǎn）理体系规（guī）范（fàn）向（xiàng）组织（zhī）提出了一（yī）系列认证（zhèng）的（de）要（yào）求（qiú），在总（zǒng）则中提（tí）出组（zǔ）织应建立（lì）并保持一个（gè）文件化（huà）的信息安（ān）全（quán）管理体系，阐述（shù）被保护（hù）的资产（chǎn）、组织风险管（guǎn）理的渠道、控（kòng）制目标及（jí）控制方式和需要的（de）保证等级；通过建立管理架构（gòu）并加以实（shí）施来达（dá）到识别控制目标和控制方式，并（bìng）形成文（wén）件和（hé）记录。

BS7799-2：2002的（de）控（kòng）制细则包（bāo）括10个方（fāng）面： 　

· 安全方针：为信息安全提供管理指导和支持； 

· 组织安（ān）全：建（jiàn）立信息安全架构，保（bǎo）证组织的（de）内部管理；被第（dì）三（sān）方访问或外协时，保（bǎo）障组织的信（xìn）息安全（quán）； 

· 资产的（de）归类与控制：明确（què）资产责任，保持对组织资产的（de）适当保护；将信息进行归类，确保信息资产受到适当程度的保护； 

· 人员（yuán）安全：在工作说明和（hé）资源方面，减少因人（rén）为（wéi）错误、盗窃、欺诈和设施（shī）误（wù）用造成的（de）风险；加强（qiáng）用户培（péi）训（xùn），确保用户清楚知（zhī）道信息安全的危（wēi）险性和相关事项，以便在（zài）他们的（de）日常工作中支持（chí）组织的安全（quán）方针；制定安全事故或（huò）故障的反（fǎn）应程序，减少由安全事故（gù）和故障造（zào）成的（de）损失，监（jiān）控安全事件并从这种事件中吸取教训（xùn）； 

· 实物（wù）与环（huán）境安全：确定（dìng）安全区域，防止非授权（quán）访问、破坏（huài）、干扰（rǎo）商务（wù）场所和信息；通过保障设备（bèi）安全，防止资产的丢（diū）失、破坏（huài）、资产危害及商务活动的中断；采用通用的控（kòng）制方式，防止信（xìn）息或信息处理设（shè）施损坏或（huò）失窃； 

· 通（tōng）信和操作方式（shì）管理：明确操作程序及其责任，确保信息处理设施（shī）的正确、安全（quán）操作；加强系统（tǒng）策划（huá）与验收（shōu），减（jiǎn）少系统失效（xiào）风险；防范恶意软件以保持软件和信息的（de）完整性；加强内务管理以保持（chí）信息处理（lǐ）和通讯服务的完整性和有效（xiào）性（xìng）通（tōng）过 ; 加强网络管理确保网络中（zhōng）的信息安全及其辅助（zhù）设施受到保护；通过保（bǎo）护媒体处理的安全（quán） , 防（fáng）止资产损坏和商务活动的中断；加强信息和软件的交换的管理，防止组织（zhī）间在交换（huàn）信（xìn）息时发生丢失、更改和误用（yòng）； 

· 访（fǎng）问控制（zhì）：按照访（fǎng）问控（kòng）制的（de）商务要求（qiú），控制信息访问；加强用户访问管（guǎn）理，防止非授权访问信息系统；明确（què）用户（hù）职责，防止非授权的（de）用户访问；加强网络访问（wèn）控制，保护网络服务程（chéng）序；加强操作系（xì）统访问控制 , 防（fáng）止非（fēi）授权（quán）的计算机访问；加强应（yīng）用访问控制，防止非授权访（fǎng）问（wèn）系（xì）统中的信息（xī）；通过监控系统的访问与使用，监测非授权行为；在（zài）移动式计（jì）算（suàn）和电传工作（zuò）方（fāng）面 , 确保使用移动式计算和电（diàn）传工作设施的信（xìn）息（xī）安全； 

· 系统开发与（yǔ）维护：明确系统安全要求，确保（bǎo）安全（quán）性已（yǐ）构成信息系统的一部份；加强应用系统的安全，防（fáng）止应用（yòng）系统用户数（shù）据的丢失、被修改或（huò）误用；加强密码技（jì）术（shù）控制，保护信息（xī）的保密性、可靠性或完整性（xìng）；加强系统文件的安全，确（què）保 IT 方案（àn）及其支持（chí）活（huó）动以安全的方式进行；加强开发和支持（chí）过程的安全，确保应（yīng）用系统（tǒng）软件（jiàn）和信（xìn）息的安全； 

· 商务连续性管理：防止商（shāng）务活动的中断（duàn）及（jí）保护关键商务过程不受重大（dà）失误（wù）或灾难（nán）事故的影（yǐng）响（xiǎng）； 

· 符（fú）合：符合法律法规要求，避（bì）免刑法、民法、有关法令法规或合同（tóng）约定事宜及其他安全要求的规定相抵触；加强安全方（fāng）针和技（jì）术符合性评审，确保体系（xì）按照组织（zhī）的安（ān）全方针及标准（zhǔn）执行；系统审核考虑因素，使效果较大（dà）化 , 并使系统（tǒng）审核过程的（de）影（yǐng）响较小化（huà）。 　 

在（zài）国（guó）际标准（zhǔn） ISO/IEC17799 给出了为实现信息安全认证所需的各项措（cuò）施的详细指导，具有很强的可操（cāo）作（zuò）性和指导性。

归根结底，信（xìn）息安全工作（zuò）的目的就是在法律、法规、政策的（de）支持与指（zhǐ）导（dǎo）下，通过采用（yòng）合适的安全技术与安全管理措（cuò）施，提（tí）供安全需求的保证，而 BS7799 信息安全认证标（biāo）准正是总（zǒng）和了这（zhè）些要求。组织（zhī）可（kě）以（yǐ）根据自身特点，在（zài） ISO/IEC 17799 指（zhǐ）导（dǎo）下，实现信（xìn）息安全的（de）要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理（lǐ）体系（xì）要求（qiú）》是关于信息安全管理（lǐ）的标准，是标准不是方（fāng）法（fǎ），达到这些标准的（de）要（yào）求并（bìng）不（bú）难，重要的是用什么方法去实（shí）现。企（qǐ）业应将实（shí）施（shī）标（biāo）准作为改善内部管理的（de）一次（cì）机会，不应该将（jiāng）标准做（zuò）为一种简（jiǎn）单的模式对现有流程（chéng）运作进行套用，应对现（xiàn）有的组（zǔ）织运（yùn）作流（liú）程进行详细（xì）分析，有（yǒu）针对性地（dì）设计并改善现有管理（lǐ）体系、改（gǎi）善薄弱环节、改善运作流程及内部沟通，并（bìng）有效地将先进的管理思（sī）想融（róng）合到具（jù）体的实施（shī）程序中，才能发挥标准的真正作用（yòng）。

获得认证证书（shū）不是较终目的，建立有责、有序、有（yǒu）效的信息安全管理（lǐ）体系，提（tí）高（gāo）员（yuán）工的信息安（ān）全意识，不（bú）断获取（qǔ）并运用先进（jìn）的（de）管理方法和技术手段才能使企业的信息安（ān）全管理（lǐ）水平得以持续（xù）的发展和（hé）提升。