信（xìn）息安全 (Information security): 是指信息（xī）的保密（mì）性 (Confidentiality) 、完整性（xìng） (Integrity) 和（hé）可（kě）用性 (Availability) 的保（bǎo）持。

•  保密性：为（wéi）保障（zhàng）信息仅仅为那些被授权使（shǐ）用的（de）人获取。

 信息（xī）的保密性是针对信息被允许访（fǎng）问（ Access ）对象的多少而不同，所（suǒ）有人员都可以访（fǎng）问的信息为（wéi）公开信息（xī），需要限制访问的（de）信息一般为敏感信息或秘密，秘密（mì）可以（yǐ）根（gēn）据信息的重要性及保（bǎo）密要求分为不同的密级，例如国家根据秘密泄露对国家经济、安（ān）全（quán）利益（yì）产生（shēng）的影响（后果（guǒ））不同，将（jiāng）国家秘密分为秘密、机（jī）密（mì）和绝密三个等（děng）级，组织可根据（jù）其（qí）信息安（ān）全的实际，在符合《国家保（bǎo）密法》的前（qián）提（tí）下将其信（xìn）息划分为不同的密级；对于具体（tǐ）的（de）信息（xī）的保密性有时（shí）效性，如秘（mì）密（mì）到期解密等。

 •  完整性：为保护（hù）信息及其处理方法的准确性（xìng）和完整性。

信（xìn）息完（wán）整性一方面是指信息在利用（yòng）、传输、贮存等过程（chéng）中不被篡改、丢失、缺损等，另一方（fāng）面是指信息处理的方法（fǎ）的正确（què）性。不正当的（de）操作（zuò），如误删（shān）除文件，有可（kě）能（néng）造成重要文件的丢失。

 •  可用（yòng）性：为保障授权使用人在需要时可以获取信息和使用相关的资产。

信（xìn）息的（de）可用（yòng）性是指信（xìn）息及相关的信息资产在授权人需要的时候，可以立即获得。例如通（tōng）信线（xiàn）路中断故（gù）障（zhàng）会造成信息的在一段时间内不可用，影响正常的商业运作，这（zhè）是信（xìn）息可（kě）用性的破坏（huài）。不同类型（xíng）的信（xìn）息及相应资产的信息安全在保密性、完整性及可用性方面关注点不同，如（rú）组（zǔ）织的专有技术、市场（chǎng）营销计划等商业（yè）秘密对组织来讲（jiǎng）保守机密尤其重要；而对（duì）于工（gōng）业自动控制系统，控（kòng）制信息的完整性（xìng）相对其保密（mì）性重要得多。

为什么（me）需要信息安全？

信息、信息（xī）处理过程及对信息起支持作用的信息（xī）系统（tǒng）和信息网络都是（shì）重要（yào）的商务资产。信息的保密性、完整性和可用（yòng）性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关（guān）重要（yào）的。然而，越来越（yuè）多的组织（zhī）及其信息系统和网络面临着（zhe）包括计算机诈骗、间谍、蓄（xù）意破坏、火（huǒ）灾、水灾等大范围的安全威胁（xié），诸如计算（suàn）机病毒、计算机（jī）入（rù）侵、 Dos 攻击等手段造成（chéng）的（de）信息（xī）灾难已变得更加普遍 , 有计划而不易（yì）被察觉。组织对信息系统（tǒng）和（hé）信息服务的依赖意味着更易（yì）受到安全威胁的（de）破坏（huài），公共和私人网络的（de）互连及信息资源的共（gòng）享增大了实现（xiàn）访问控（kòng）制的（de）难度。许多信（xìn）息系统本身就不是按（àn）照安全（quán）系（xì）统的（de）要求来设计的，所以仅（jǐn）依靠技（jì）术（shù）手段来实现信息安全有其局限性，所以信息安全的实现须得到管理和程序控制的（de）适当支持。确定应采（cǎi）取哪些控制（zhì）方式则需要周密（mì）计（jì）划，并注意细节。信息安全管（guǎn）理（lǐ）至（zhì）少需要组织中的（de）所有（yǒu）雇员（yuán）的参与，此外还需要供应商、顾客或股（gǔ）东的（de）参与和信息安全的专家建议（yì）。在信息（xī）系统设计阶段就将安全要求和控制一体化考（kǎo）虑，则（zé）成（chéng）本（běn）会更低（dī）、效率（lǜ）会更（gèng）高。

 BS7799的信（xìn）息管理过程：

①确定信息（xī）安全管理方针。

②确定 ISMS( 信息（xī）安全（quán）管（guǎn）理体（tǐ）系) 的范围

③进行风（fēng）险（xiǎn）分析。

④选择控制目（mù）标并进（jìn）行控制。

⑤建立业务持续计划。

⑥建（jiàn）立并实施安全管（guǎn）理体系。

 建立信（xìn）息安全管（guǎn）理（lǐ）体系的（de）作用：

 任何组织，不（bú）论它在信息技术方面如（rú）何努力以及（jí）采纳如何新的信息安全技（jì）术，实际上在信息安（ān）全管理方面都还存在漏（lòu）洞（dòng），例如：

· 缺少信息安全管理论坛，安全导向不明确，管理支（zhī）持不明显； 

· 缺（quē）少跨部门的（de）信息安全协调机制； 

· 保护特（tè）定资产以及（jí）完成特定安全（quán）过程的职责还不（bú）明（míng）确； 

· 雇员信息安全意识薄弱，缺少（shǎo）防范意识，外（wài）来人（rén）员很容易（yì）直接进入生产和工作场所； 

· 组织信息系统管理（lǐ）制度不（bú）够健全； 

· 组织信（xìn）息系统主机房安全存在隐患，如：防火（huǒ）设施存在问题，与危险品仓库同（tóng）处一（yī）幢办公楼等（děng）； 

· 组织信息系统备份设备仍有（yǒu）欠（qiàn）缺； 

· 组（zǔ）织信息系统安全防范技术投入欠（qiàn）缺； 

· 软件知识产权保护欠缺； 

· 计算（suàn）机房、办公场（chǎng）所等物理（lǐ）防范措施（shī）欠缺； 

· 档案、记录等缺（quē）少可靠贮存场所（suǒ）； 

· 缺（quē）少（shǎo）一旦发生意外时的（de）保证生产经营连（lián）续性的措施和计划； 

        ……等等。

为（wéi）什么要（yào）建立和实施ISO27001信（xìn）息安全管（guǎn）理（lǐ）体系认证（2）

其实，组（zǔ）织可以参照信息安全管理模型，按照先进的信（xìn）息安全管（guǎn）理标准 BS7799 标准建立组织完整的（de）信息安全（quán）管理体系并实施与保持，达到（dào）动态的（de）、系统的、全员参与、制（zhì）度（dù）化的、以（yǐ）预防为主的信息（xī）安全（quán）管理方（fāng）式，用较低的（de）成本，达到可接受的信息安（ān）全（quán）水平，就（jiù）可以从根本上保证业务的连（lián）续性。组织（zhī）建立、实施与保持信息（xī）安全管（guǎn）理体系将会（huì）产生如下作用（yòng）：

· 强化员（yuán）工的信息安全意识，规范（fàn）组织信息安全行为（wéi）； 

· 对组织的关键（jiàn）信息资产进行全面（miàn）系（xì）统（tǒng）的保（bǎo）护，维持竞争优势； 

· 在信息（xī）系统受到侵袭时，确（què）保业（yè）务持续开展（zhǎn）并将损失降到较（jiào）低程度（dù）； 

· 使组织的生意伙伴和客（kè）户对（duì）组织充满信心； 

· 如果通过体系（xì）认证，表明体系符合标准，证明组织有能力保障（zhàng）重要信息（xī），提高组织的名度与信任度； 

· 促使管理层坚（jiān）持贯（guàn）彻信息安全保（bǎo）障体系。 

BS7799标准概述（shù）：

· 1995 年（nián），英国贸（mào）工部根据（jù）英国国内企（qǐ）业对信息（xī）安全（quán）日（rì）益高涨的（de）呼声，组织大企业的信息安全经理（lǐ）们，制（zhì）定了世界（jiè）上第（dì）一个信息安全管理体系标准 BS7799-1 ： 1995 《信息安全管理（lǐ）实施规则（zé）》，作为工商（shāng）业和大（dà）、中、小型组织实施信（xìn）息安全管理（lǐ）的指南。由于该（gāi）标（biāo）准采（cǎi）用建议和指导方（fāng）式编写，因而不宜（yí）作为（wéi）认（rèn）证标准使（shǐ）用。 

· 1998 年，为（wéi）了适应第三方认证（zhèng）的需要，英（yīng）国又制定了（le）第一个信息安全管（guǎn）理体系认证（zhèng）标准 --BS7799-2 ： 1998 《信息安（ān）全管理体系规范》，作为（wéi）对（duì）一个组织的全（quán）部（bù）或部分信息安全管（guǎn）理体系进（jìn）行评审（shěn）认证的依据标准。 

· 1999 年，鉴于计算机和信息处理技术（shù），尤其（qí）是网络和通信领域应用的迅速发展，英国又对（duì）信息安（ān）全管理体系标准进行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分（fèn）别（bié）取代（dài）了（le） BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调了组织在商务（wù）工作中所涉及（jí）的信息安全和信息安全责任（rèn）。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是（shì）一（yī）对配套标（biāo）准， BS7799-1 ： 1999 为如何（hé）建立和实施符合（hé） BS7799-2 ： 1999 标准（zhǔn）要求的（de）信息安全管理体系（xì）提供了较佳的应用建（jiàn）议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采（cǎi）纳成为国（guó）际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息（xī）安全管理实施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝（lán）本修（xiū）订后成为（wéi）可用（yòng）于认证的 ISO/IEC 的《信息安全管理体系规范》。 

信（xìn）息安全认证是实现信息安（ān）全（quán）目标的较佳途（tú）径：

BS7799-2：2002信息（xī）安全管理体系规范向组织提出了一系列认证的要（yào）求，在（zài）总（zǒng）则中提（tí）出组织应（yīng）建立并保持一个文件（jiàn）化的信息安全管理体系，阐述被保护的（de）资产、组织风险管理的渠道、控制目标及控制方（fāng）式（shì）和需要的保证等（děng）级（jí）；通过建立管理架（jià）构并加以实施来（lái）达到识别控制目标和控制方式，并（bìng）形成（chéng）文件和记录（lù）。

BS7799-2：2002的控制细（xì）则包括10个方面： 　

· 安全方针：为信息安全提（tí）供（gòng）管理指导和支（zhī）持； 

· 组织安全：建立信息安（ān）全架构，保证（zhèng）组（zǔ）织的内（nèi）部管理；被第三（sān）方访问或外协时，保障组（zǔ）织的信（xìn）息安（ān）全（quán）； 

· 资产的归（guī）类与控制：明确资（zī）产责任，保持对（duì）组织资产的适当保护（hù）；将信息进行归类，确保（bǎo）信（xìn）息（xī）资产受（shòu）到适（shì）当程度的保（bǎo）护（hù）； 

· 人员安全：在工作说明和资源方面（miàn），减少因（yīn）人为（wéi）错（cuò）误（wù）、盗窃（qiè）、欺诈和（hé）设施误用造成的风险（xiǎn）；加强用户培（péi）训（xùn），确保用户清楚知道信息安全的危险（xiǎn）性和相关事项，以便在他们的日常工作中（zhōng）支持（chí）组织的安全方（fāng）针；制定安全事故或（huò）故障（zhàng）的（de）反应程序，减少由安全（quán）事故和故障造成的损（sǔn）失，监（jiān）控安全事（shì）件并从这种事件中（zhōng）吸取教（jiāo）训； 

· 实物与环境安全：确（què）定安全区域，防止非授（shòu）权访问、破（pò）坏、干扰（rǎo）商务场所和信（xìn）息；通过保障设（shè）备安全，防止资产的丢失、破坏、资产危（wēi）害及商务活（huó）动的中（zhōng）断；采用（yòng）通用的控制方式（shì），防止（zhǐ）信息（xī）或信息处理设施损坏或失窃； 

· 通信和操作方式管（guǎn）理：明确操作程序及其（qí）责任，确保（bǎo）信息处（chù）理（lǐ）设（shè）施的正（zhèng）确、安全操作；加强系统策划与验收，减（jiǎn）少系统失效（xiào）风险；防范恶意软件（jiàn）以保（bǎo）持软件和（hé）信息（xī）的完整性；加强内务（wù）管理以保持信（xìn）息处理和通（tōng）讯服务的完整性和有（yǒu）效性通（tōng）过 ; 加强（qiáng）网络（luò）管理确保网络中的信（xìn）息安（ān）全及其辅助设（shè）施受（shòu）到保（bǎo）护；通过保护媒体处理的（de）安全 , 防止资（zī）产损（sǔn）坏（huài）和商务（wù）活动（dòng）的中断（duàn）；加强信息和（hé）软件的交换的管理（lǐ），防止（zhǐ）组织间（jiān）在交换信息时发生丢失、更改和（hé）误用； 

· 访问控制：按照访（fǎng）问（wèn）控（kòng）制的商务要求，控制信息访问（wèn）；加强用（yòng）户访问管理，防止非授权访问信息（xī）系（xì）统（tǒng）；明确用户职责，防止非授权的用（yòng）户访问（wèn）；加强网络访问（wèn）控制，保护网络服务程（chéng）序；加强操作系统访问控制 , 防止非授权的计算机访问；加强应用（yòng）访（fǎng）问控制，防止非授（shòu）权访（fǎng）问系统中的信息；通（tōng）过监控系（xì）统的（de）访问与使用，监测非授权行为（wéi）；在移动式计算和电传工作方面（miàn） , 确保（bǎo）使用移动式计（jì）算（suàn）和电传工作设施的信息安全； 

· 系统开发与维护：明确系统安全（quán）要求，确保安全性（xìng）已（yǐ）构成信（xìn）息系（xì）统的一部份；加强应用（yòng）系统（tǒng）的安全，防止应用系统用户数据的丢失、被（bèi）修改或（huò）误用；加强（qiáng）密码技术（shù）控制，保护（hù）信息的保密性、可靠性或完整性（xìng）；加强系统文件的安全，确保 IT 方案及其（qí）支持活动（dòng）以安全的方式进行（háng）；加强开发和支持（chí）过程（chéng）的安全，确保应用系统软件和信（xìn）息的（de）安全； 

· 商务连续性管理：防止商务活动（dòng）的（de）中断及保护关键商务过程不受重大失（shī）误或灾难（nán）事故的（de）影响（xiǎng）； 

· 符合：符合法律法（fǎ）规要求，避免刑（xíng）法、民法（fǎ）、有关法令法（fǎ）规或合（hé）同约定事宜及其他（tā）安全（quán）要求的（de）规定相抵触；加（jiā）强安全方针和技术符合性（xìng）评审，确保体系按照组织的安全方针及（jí）标准执行；系统（tǒng）审（shěn）核考虑因（yīn）素，使效果（guǒ）较大化 , 并（bìng）使（shǐ）系统审核过程的影响（xiǎng）较小（xiǎo）化（huà）。 　 

在国际（jì）标（biāo）准 ISO/IEC17799 给出了为实现信息（xī）安（ān）全认（rèn）证所需的各项措施的详细指导，具有（yǒu）很强的可操作（zuò）性和指导性。

归根结底，信息安全工作的目的就是在法律（lǜ）、法规、政策的支持与指导下，通（tōng）过（guò）采用合适的安全技（jì）术与安全管理措施，提供安（ān）全（quán）需（xū）求的保证，而（ér） BS7799 信息（xī）安全认证标准正是总和了这些要求。组织可以根据自（zì）身特点（diǎn），在 ISO/IEC 17799 指导（dǎo）下，实现信息安全的要（yào）求（qiú）。

 ISO27001：2005 《信息安全管（guǎn）理体系要（yào）求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系要求》是（shì）关于信息安全（quán）管理（lǐ）的标准，是标准不是方法，达到这（zhè）些（xiē）标准的要求并不难，重要的是用什么方法去实现。企业应将实施标准（zhǔn）作为改善（shàn）内部（bù）管理的一次机（jī）会，不应该将标准做为一种简单的模（mó）式对（duì）现有流（liú）程运作（zuò）进行套用，应对现有（yǒu）的组织运作流程进行（háng）详（xiáng）细分析，有针对性地设计并改善现有管理（lǐ）体系、改善薄弱环节、改善（shàn）运作（zuò）流程及内部沟通，并有效地将先进的管理思想融（róng）合到具（jù）体的实施程（chéng）序（xù）中（zhōng），才（cái）能发挥标准的真正作用。

获得认证证书不是较终目的，建立有（yǒu）责、有序、有效的信息安全管理体系，提高（gāo）员工的信息安全意识，不断获取（qǔ）并（bìng）运用（yòng）先进的管理方法和技术手段才能（néng）使企（qǐ）业的信息安全管理水（shuǐ）平得（dé）以持续的发展（zhǎn）和提升（shēng）。