信息安全 (Information security): 是（shì）指（zhǐ）信息（xī）的保（bǎo）密性 (Confidentiality) 、完整（zhěng）性 (Integrity) 和可用性 (Availability) 的（de）保（bǎo）持（chí）。

•  保密（mì）性：为保障信息（xī）仅仅（jǐn）为（wéi）那些被授（shòu）权使用（yòng）的人获取。

 信息（xī）的（de）保密性（xìng）是针对（duì）信息被允许访问（ Access ）对象的（de）多少而（ér）不同（tóng），所有人员都可以访问的信息（xī）为公开信（xìn）息，需要限制访问的（de）信息一般为敏感信息或秘密，秘密可以根据信息（xī）的重（chóng）要性（xìng）及保（bǎo）密要求（qiú）分（fèn）为不同（tóng）的密级（jí），例如国家根（gēn）据秘（mì）密泄露对国家经济、安全利益产生的（de）影响（后果）不同，将国家秘密分（fèn）为（wéi）秘密（mì）、机密和绝密（mì）三个等级，组织可根据其信息安全的实际，在（zài）符合（hé）《国家保（bǎo）密法》的前提下（xià）将（jiāng）其信息划分为（wéi）不同的密级；对于（yú）具体的信息的保密性有（yǒu）时（shí）效性，如秘密到期解密等。

 •  完整性：为保护信息及其处理方法的准确性（xìng）和完整性。

信（xìn）息（xī）完整性（xìng）一（yī）方面是（shì）指信息在（zài）利用、传输、贮存等过程（chéng）中（zhōng）不被篡改（gǎi）、丢失、缺损等，另一方面是指信息处理的方法的正确性。不正（zhèng）当的操作，如误删除文件，有可（kě）能（néng）造成（chéng）重要文件的（de）丢失（shī）。

 •  可用性：为保（bǎo）障授权使用（yòng）人在需（xū）要时可以获取信息和使用相关的（de）资产（chǎn）。

信息的（de）可用（yòng）性是指（zhǐ）信息及相关的信息资产在授（shòu）权人需要的时候，可以立即获得（dé）。例如通信线路（lù）中断故障会造成信息的（de）在（zài）一段时间内不可用，影响正常的（de）商业运（yùn）作，这（zhè）是信（xìn）息可用（yòng）性的破（pò）坏。不同类（lèi）型的信息及相应资产的信息安全在（zài）保密（mì）性、完整性及可用性方面关注点（diǎn）不（bú）同，如组织的专（zhuān）有技术、市（shì）场营销计划等商业（yè）秘密对组（zǔ）织来讲（jiǎng）保守机密尤（yóu）其重要；而（ér）对于工业自动控制系（xì）统，控制信息的完整性相对其保密性重要得（dé）多。

为什么需要信息安全？

信息、信息处理（lǐ）过程（chéng）及对信息起支持作用（yòng）的信息系统和信息网络都是重要的商务资（zī）产。信（xìn）息（xī）的保密性、完整（zhěng）性和可用性对保持竞争优势、资金流动、效益、法律符合（hé）性（xìng）和商业形象都是至（zhì）关重要的。然而，越来越多的组（zǔ）织及其（qí）信息系统和网络面临着包括（kuò）计算（suàn）机诈骗、间谍、蓄（xù）意（yì）破坏、火灾、水灾（zāi）等大范围的安全威胁（xié），诸如计算机病毒、计算机入侵、 Dos 攻击（jī）等手（shǒu）段造成（chéng）的信（xìn）息灾难已变（biàn）得更加普遍 , 有计（jì）划而不（bú）易（yì）被察觉（jiào）。组织对信息系统（tǒng）和信息服务的依（yī）赖（lài）意味着更易受（shòu）到安全威胁的破坏，公共和私人网络的互连（lián）及信息（xī）资源（yuán）的共享增大（dà）了实现访问（wèn）控制的难度（dù）。许多信（xìn）息系统本身就（jiù）不是按照（zhào）安全系统的要（yào）求来设计的，所以仅依靠技术手段来实（shí）现信息（xī）安（ān）全有其（qí）局限性，所（suǒ）以信息安全的实（shí）现须得到管理和程序控制的适当支（zhī）持。确定应采取哪（nǎ）些控制（zhì）方式则（zé）需要周（zhōu）密计划，并注意细节。信息安全管（guǎn）理至少需要组（zǔ）织中的所有雇员的参与，此（cǐ）外还需要供应（yīng）商、顾客或股东的（de）参与（yǔ）和（hé）信息安全（quán）的专（zhuān）家建议。在信息（xī）系统设（shè）计阶段就将（jiāng）安全要求和控制一体化（huà）考（kǎo）虑（lǜ），则成本会更低、效率会更高。

 BS7799的信（xìn）息管理过程：

①确定信息安全（quán）管理方针。

②确定 ISMS( 信息安全管理体系) 的范围

③进（jìn）行风险分析。

④选择（zé）控制目（mù）标并进行控制（zhì）。

⑤建立（lì）业务持续计划。

⑥建立并实施安全管理体系。

 建（jiàn）立信息安（ān）全管理（lǐ）体系的作用：

 任何（hé）组（zǔ）织，不论它（tā）在信息技术方面如（rú）何努力以（yǐ）及采纳如何新的（de）信息安全技术，实际上在信息（xī）安全管理方面都还（hái）存在漏洞，例如（rú）：

· 缺少信（xìn）息安全（quán）管理论坛，安全导向不明确，管（guǎn）理（lǐ）支持不明显； 

· 缺少跨部门（mén）的信息安全（quán）协调机制； 

· 保护特定资产以及完成特定安全过程的职（zhí）责还不明（míng）确； 

· 雇员信息安全意（yì）识薄弱，缺少防（fáng）范（fàn）意识，外来人员很容易（yì）直（zhí）接进入生（shēng）产（chǎn）和工作场所； 

· 组织信息系统（tǒng）管理制度不够健（jiàn）全； 

· 组织信息系统（tǒng）主机房（fáng）安全存在隐患，如：防火设施存在问题，与危（wēi）险（xiǎn）品仓库同处一幢办公楼等； 

· 组织（zhī）信（xìn）息（xī）系统备份设备仍有欠缺； 

· 组织信（xìn）息系（xì）统安全防范技术投入（rù）欠（qiàn）缺； 

· 软件知识产（chǎn）权保护欠缺； 

· 计算机房、办公场所等物（wù）理防范措施欠缺； 

· 档案、记（jì）录等缺少可靠贮存（cún）场所； 

· 缺（quē）少一旦发生意外（wài）时的保证（zhèng）生产经营连（lián）续性（xìng）的措施和计划； 

        ……等等。

为什么要（yào）建立和实施ISO27001信息安（ān）全管理体系认证（2）

其（qí）实，组织可（kě）以参照信息安全管理（lǐ）模型（xíng），按（àn）照先进的（de）信息安（ān）全管理（lǐ）标准 BS7799 标（biāo）准建立组织完整的信息安全（quán）管理体系并（bìng）实施与保持，达到（dào）动态的、系（xì）统的、全员参与（yǔ）、制度化的、以（yǐ）预（yù）防为主的信息安全管理方式，用较低的成（chéng）本，达到可接受的信息安（ān）全水平，就可以从根（gēn）本上保（bǎo）证业务的连续性。组织建（jiàn）立（lì）、实施与保持信息安（ān）全（quán）管理体系将会（huì）产生（shēng）如下作（zuò）用：

· 强化员（yuán）工的信（xìn）息（xī）安全意识，规范（fàn）组织（zhī）信（xìn）息安（ān）全行为（wéi）； 

· 对（duì）组织的关（guān）键信息资产进行全面系统的保护，维持竞争优势（shì）； 

· 在信息系统（tǒng）受（shòu）到侵袭（xí）时，确保业（yè）务持续（xù）开（kāi）展并（bìng）将损失（shī）降到较低程（chéng）度； 

· 使组织的生（shēng）意伙伴和客户对组织充满信心； 

· 如果通过体系认证，表明体系符合标准（zhǔn），证明组织（zhī）有能力保障重要信息，提高（gāo）组织的名度与信任度； 

· 促使管（guǎn）理（lǐ）层坚持贯彻信息安（ān）全（quán）保（bǎo）障体系（xì）。 

BS7799标准概述：

· 1995 年，英国贸（mào）工部根据英国国内企（qǐ）业对信息安全日益高涨的呼声，组织大企业的信息安全经理们（men），制定了世（shì）界上（shàng）第（dì）一个信息安全管理体系标准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大、中、小型（xíng）组织（zhī）实施信息安（ān）全管理（lǐ）的指南。由于该标准采（cǎi）用建议和指导（dǎo）方式编写（xiě），因而不宜作（zuò）为（wéi）认证标准（zhǔn）使用。 

· 1998 年，为了适（shì）应第三（sān）方认证的需要，英（yīng）国又制定了第一个信息安（ān）全管理体系认（rèn）证标（biāo）准 --BS7799-2 ： 1998 《信息（xī）安（ān）全（quán）管理体系（xì）规范》，作为对一（yī）个组织的（de）全部或部分信（xìn）息安全（quán）管理体系进行评审认证的依据标准（zhǔn）。 

· 1999 年，鉴于计算机和（hé）信息处理（lǐ）技术，尤其是网络和通信领（lǐng）域应（yīng）用（yòng）的迅（xùn）速（sù）发展，英国又对信（xìn）息安全管理体系标准进（jìn）行（háng）了修订（dìng）。修订后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修（xiū）订的 1999 版（bǎn）标准（zhǔn）进一步强调（diào）了（le）组织（zhī）在商务工作中所涉（shè）及的（de）信息安全（quán）和信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建（jiàn）立和实施符合 BS7799-2 ： 1999 标准要求的信息安全管理（lǐ）体系提供了较佳（jiā）的应（yīng）用建议（yì）。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成（chéng）为国际标准 -- ISO/IEC 17799 ： 2000 《信息技术—信息安全管理实施规则》，另外， BS7799-2 ： 1999 也即将于（yú） 2002 年底被 ISO/IEC 作为蓝本修订后成为（wéi）可用于认证的（de） ISO/IEC 的《信息安全管理体系规（guī）范》。 

信息安全认证是实现信息安全（quán）目（mù）标的较佳途（tú）径：

BS7799-2：2002信息安全管理体（tǐ）系规范向组织提出（chū）了一系列（liè）认证的要求，在总则中提出组（zǔ）织（zhī）应建立（lì）并保持一个文件（jiàn）化的信息安全管理体系，阐述被保（bǎo）护的资产、组织风险管（guǎn）理的渠道、控制目标及控制（zhì）方式（shì）和需要的保证等级（jí）；通过建（jiàn）立管理架构（gòu）并加以实施来达到（dào）识（shí）别（bié）控制目（mù）标（biāo）和控制（zhì）方式，并形成（chéng）文件和记录（lù）。

BS7799-2：2002的控（kòng）制细（xì）则包括10个方面： 　

· 安全方（fāng）针（zhēn）：为信息安（ān）全提供管理指（zhǐ）导（dǎo）和支持； 

· 组织安（ān）全：建立信息安（ān）全架构（gòu），保（bǎo）证组织的内（nèi）部管理；被第三方（fāng）访（fǎng）问或外协时，保障组（zǔ）织的信息安全（quán）； 

· 资产的（de）归类（lèi）与控制：明（míng）确（què）资（zī）产责任（rèn），保持对组织（zhī）资产的适当保护（hù）；将信息进行归类，确保信息资产受到适当程度的保护； 

· 人员安全：在工作说明和资（zī）源方面，减少因（yīn）人为错误、盗窃、欺诈和设施误用造成的风险；加强（qiáng）用户（hù）培训，确保用户清楚知道信息安全的（de）危（wēi）险性和相关事项（xiàng），以（yǐ）便在他们的日常工（gōng）作中支（zhī）持组织（zhī）的安全方针；制定安全事故或（huò）故障的反应程序，减少由安全事（shì）故和故障造成（chéng）的损失（shī），监控安全事件并从这种事件中吸取教训（xùn）； 

· 实物（wù）与环境安全：确定（dìng）安全区域，防止非（fēi）授（shòu）权访（fǎng）问、破坏、干（gàn）扰商务场所和（hé）信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及商务活动的中断；采（cǎi）用（yòng）通用的控制方式，防止信（xìn）息或信息处理设施损（sǔn）坏（huài）或失窃； 

· 通信和（hé）操作方式管理（lǐ）：明确操作（zuò）程序及其责任，确保信息处理设施的（de）正（zhèng）确（què）、安全操作（zuò）；加强系统策划与验收（shōu），减少系统失效（xiào）风险（xiǎn）；防范恶意软件以（yǐ）保持软件和信息的（de）完整性；加强内务（wù）管理以保持信息处（chù）理和通（tōng）讯服（fú）务的（de）完整（zhěng）性和有（yǒu）效性通过 ; 加强（qiáng）网络管（guǎn）理确保网络（luò）中（zhōng）的信息安（ān）全及其辅助（zhù）设施受到保护；通（tōng）过保护媒体处（chù）理的（de）安（ān）全（quán） , 防止资（zī）产损坏和商务活动的中断；加（jiā）强信（xìn）息和软件的交（jiāo）换的管理，防止组织间（jiān）在交换信息（xī）时发生丢失（shī）、更改和误（wù）用； 

· 访问控制：按（àn）照（zhào）访问控制的（de）商务要求，控（kòng）制信息访问（wèn）；加强用户访问管理，防止非授（shòu）权访问信（xìn）息系统；明确用户职（zhí）责，防止（zhǐ）非授权的用户访问；加强网络访问控制，保护网络服务程序；加强操作（zuò）系统（tǒng）访问控制 , 防（fáng）止非授权（quán）的（de）计算机访问（wèn）；加强应用访问（wèn）控制（zhì），防止非授（shòu）权访问系统中的信（xìn）息（xī）；通（tōng）过监控（kòng）系（xì）统的访（fǎng）问与使用，监测（cè）非授（shòu）权行（háng）为；在移动式计算和电传工作方面 , 确保使用移（yí）动式计（jì）算和电（diàn）传工作（zuò）设施的信（xìn）息安（ān）全； 

· 系统开发（fā）与维护：明确（què）系统（tǒng）安全要求（qiú），确（què）保安全性已构（gòu）成信息系统的一部（bù）份（fèn）；加强（qiáng）应用系统（tǒng）的安全，防止应用（yòng）系统用户数据的丢失（shī）、被修改或误用；加强密码技术控制，保（bǎo）护信（xìn）息的保密性、可靠（kào）性或完整性；加强（qiáng）系统文件的安全，确保（bǎo） IT 方案（àn）及其支持（chí）活动以安全的方式（shì）进行；加强开（kāi）发和支（zhī）持过程（chéng）的安全（quán），确保应（yīng）用系统软件和（hé）信息（xī）的安全； 

· 商务连续（xù）性管理：防止商务（wù）活动的中断及保护关键商（shāng）务过程不（bú）受重大失误（wù）或灾难（nán）事故的（de）影响； 

· 符合：符（fú）合法律法规（guī）要求，避免刑法（fǎ）、民（mín）法（fǎ）、有（yǒu）关法（fǎ）令（lìng）法规或合同（tóng）约定事宜及（jí）其他安全要求的规定（dìng）相抵触；加（jiā）强安全（quán）方针（zhēn）和技术符合性评审，确保体系按（àn）照组织（zhī）的安全方针及（jí）标准执行；系统（tǒng）审（shěn）核考虑因素（sù），使效（xiào）果较大化（huà） , 并使系（xì）统审核（hé）过程的影响较小化。 　 

在国（guó）际标准 ISO/IEC17799 给出了为实现（xiàn）信息安全认证（zhèng）所（suǒ）需的各项措施的详细指导，具（jù）有很强的可操作性和指导性。

归根（gēn）结底，信息安全工作的目的就（jiù）是（shì）在法律（lǜ）、法规、政策的支持与指导下，通过采用合适的安全技（jì）术与安全管理措施（shī），提供安全需求的保证，而 BS7799 信（xìn）息安全认证标准正是总和了这些要求（qiú）。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信息（xī）安全的要求。

 ISO27001：2005 《信息（xī）安全（quán）管（guǎn）理体系要（yào）求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信息安全管理的标准，是标准不是方法，达到这些标准的要（yào）求并不难，重（chóng）要的（de）是用什么方法去（qù）实现。企业应（yīng）将（jiāng）实施标准作为改善内部管理（lǐ）的一（yī）次机会，不应该将标准做为一种（zhǒng）简单的模（mó）式对（duì）现有流（liú）程运（yùn）作进行套（tào）用，应对现（xiàn）有（yǒu）的组（zǔ）织运作流程进行详细分析，有（yǒu）针对（duì）性地设计并改善（shàn）现（xiàn）有（yǒu）管理体系、改善（shàn）薄弱环节、改善（shàn）运（yùn）作流（liú）程及（jí）内部沟通，并有效地将先进的管理思想融（róng）合到（dào）具体的实（shí）施（shī）程（chéng）序中，才能（néng）发挥标准的真正作（zuò）用。

获得（dé）认证证书不是较终目的，建立有责、有序、有效的信息安（ān）全管理体系，提（tí）高员工的信息安全意（yì）识，不断获取（qǔ）并运用（yòng）先进的管理方法和技术手段才能使企（qǐ）业的（de）信息（xī）安全管理水平得以持续的（de）发展和（hé）提升。