信息安（ān）全（quán） (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和（hé）可用性 (Availability) 的保持。

•  保密性：为保障信（xìn）息仅仅为那些被（bèi）授权使（shǐ）用的人获取。

 信息的（de）保密性是（shì）针对信息被允许访问（wèn）（ Access ）对象的多少而不（bú）同，所有人（rén）员都可以访（fǎng）问的信息（xī）为公开信（xìn）息，需要限制访（fǎng）问的信息一般（bān）为敏感信息或秘密，秘密（mì）可（kě）以根据信息的重要性（xìng）及保密要求（qiú）分（fèn）为不同的（de）密级，例如（rú）国家根据秘密泄露对（duì）国家经济、安全利（lì）益产生的影响（后果）不同，将国（guó）家秘密（mì）分为秘密、机密和绝（jué）密三个等级，组织可根据（jù）其信息（xī）安全的实际，在符（fú）合《国家保（bǎo）密法》的前提下（xià）将其（qí）信息划分为不同的密级（jí）；对于具体（tǐ）的信息的（de）保密性有时效（xiào）性，如秘密到期解密等。

 •  完整性：为（wéi）保护信息及其处理方法的准确性和完（wán）整性。

信息完整（zhěng）性（xìng）一方（fāng）面是（shì）指信息（xī）在利用、传（chuán）输、贮存等过程中不被（bèi）篡改、丢失（shī）、缺损等（děng），另（lìng）一方（fāng）面是指信息处（chù）理的方法的（de）正确性。不正当的操作，如（rú）误删除文件，有可能造成重要文件的丢失。

 •  可用性：为保障授权（quán）使用人在需要时（shí）可以获取信（xìn）息和使用相关的资产（chǎn）。

信息的可（kě）用性是指信息及（jí）相关的信息资（zī）产在授权（quán）人需要（yào）的时候，可以立即获得。例如通信线（xiàn）路（lù）中（zhōng）断故障会造成信息的在一段时间内不可用，影响正常的商业（yè）运作，这是信（xìn）息可用性的破坏。不同类（lèi）型的信息及相应（yīng）资产的信息安全在保密性、完整性及可用性方（fāng）面（miàn）关注点不同（tóng），如组织的专有技术、市场（chǎng）营销计划等商业（yè）秘密对组织来讲保守机密尤其重要；而对于（yú）工业自动（dòng）控（kòng）制系统，控制信息的完整性相对（duì）其保（bǎo）密性（xìng）重要得多。

为什么（me）需要信息安全？

信息、信息处理过程及对信息起支持作用的信息系统和（hé）信（xìn）息网（wǎng）络（luò）都是重要的商务资（zī）产。信息的保密性、完整性（xìng）和可用性（xìng）对保持竞争优势、资金（jīn）流动、效益、法（fǎ）律符合性和商业（yè）形象都（dōu）是至关重要的。然而，越来越多的组织（zhī）及其（qí）信息系统和网络面临着包（bāo）括（kuò）计算机诈（zhà）骗、间谍、蓄意破坏、火灾、水灾（zāi）等大范围的安全威胁，诸（zhū）如计算机病毒（dú）、计算机（jī）入侵、 Dos 攻击等手段（duàn）造成的信息灾难已变得更加普遍 , 有计划而不易（yì）被察（chá）觉。组织对信息系统和信息（xī）服务的依赖意味着更（gèng）易受到安全威胁的（de）破坏，公共和私人网络的互连及信息资源（yuán）的共享增大了（le）实（shí）现访问（wèn）控制的难度。许多（duō）信息系统本身就不是按照安全系统的要求来设（shè）计（jì）的，所以仅依靠技（jì）术手段来实现（xiàn）信（xìn）息（xī）安（ān）全有其局限性，所以信息（xī）安全的（de）实现须得到管（guǎn）理和程序控制的（de）适当支持。确定应采取哪些控（kòng）制方式则需要周密计划（huá），并（bìng）注意细节。信息（xī）安全（quán）管（guǎn）理至少需要组（zǔ）织中的（de）所有雇（gù）员的参与，此（cǐ）外还需要供应商、顾客（kè）或股（gǔ）东（dōng）的参与和信（xìn）息安全的专家建议。在信（xìn）息系（xì）统设计阶段就（jiù）将安全要（yào）求和控（kòng）制一体化考虑，则成本（běn）会更低、效率会更高。

 BS7799的信息管理过程：

①确定信息安全管理方针。

②确（què）定 ISMS( 信息安全管理体（tǐ）系) 的范围

③进行风险分析。

④选择控制目标并进行控制。

⑤建立业务持续计划。

⑥建立（lì）并实施安全管理（lǐ）体（tǐ）系（xì）。

 建立信（xìn）息安全管理体系的（de）作用：

 任何组织，不论它在信息技术方面如何努力以及采（cǎi）纳如何新的（de）信息安全技术，实际上（shàng）在信息安全管理方面都还存在漏洞，例如：

· 缺少信（xìn）息安（ān）全（quán）管理论（lùn）坛，安全导向不明（míng）确，管理（lǐ）支持不明（míng）显； 

· 缺少跨（kuà）部门（mén）的信息安（ān）全（quán）协调（diào）机（jī）制； 

· 保护（hù）特（tè）定资产以及完成特定安全过程的职责还不明确； 

· 雇（gù）员（yuán）信息安全意识（shí）薄（báo）弱，缺少防范（fàn）意识，外（wài）来人员很容（róng）易直接进入生产（chǎn）和工作场所； 

· 组（zǔ）织（zhī）信（xìn）息系统管理制度不够健全； 

· 组织信息系统主机房安全存在隐（yǐn）患（huàn），如：防（fáng）火（huǒ）设施存在问题，与危险（xiǎn）品仓库同处一幢（zhuàng）办公楼等； 

· 组织信息系统备份设备仍（réng）有欠缺； 

· 组织信息系统安（ān）全防范（fàn）技术投入欠缺（quē）； 

· 软件（jiàn）知识（shí）产权（quán）保护欠缺； 

· 计算机房、办公（gōng）场所等物理防范措施欠（qiàn）缺； 

· 档案、记录等缺少可（kě）靠贮存（cún）场所； 

· 缺少一旦发生意外（wài）时的保证生产经营（yíng）连续性的措施和计划； 

        ……等等。

为（wéi）什么要建（jiàn）立和实施ISO27001信（xìn）息安全管理体系（xì）认证（2）

其（qí）实，组织（zhī）可以参照信息安全管理模型（xíng），按照先进的信息安全管理标（biāo）准 BS7799 标准（zhǔn）建立组织完整的信息安（ān）全管（guǎn）理体系（xì）并实施与保（bǎo）持，达到（dào）动态的（de）、系统的（de）、全员参与、制（zhì）度化的、以预防为主的（de）信息安全管理方式，用较（jiào）低的成本，达到可接受（shòu）的（de）信息安（ān）全水平，就可以从根本上保证业务的连（lián）续性。组织建立、实施（shī）与（yǔ）保持信息安全（quán）管理体（tǐ）系将会产生（shēng）如下作用：

· 强（qiáng）化员工的信息安（ān）全意识，规范组织信息安全行为（wéi）； 

· 对组织的关键信息资（zī）产进行全面系统的保护，维持（chí）竞争优势； 

· 在（zài）信（xìn）息系统受到侵袭时（shí），确保业务持续开展并将损（sǔn）失降到较低程度（dù）； 

· 使组织的生意伙伴和客户对组（zǔ）织充满信心； 

· 如果通过体系认证，表明体系符合标准，证明（míng）组织（zhī）有能力保障重要信（xìn）息，提高（gāo）组（zǔ）织的名度与信任度； 

· 促使（shǐ）管理层坚持贯彻信息安全保障体系。 

BS7799标准（zhǔn）概述：

· 1995 年（nián），英（yīng）国贸工（gōng）部根据英国国内企业对信（xìn）息安全日益高涨的呼声，组织大企业（yè）的信息安全经理们，制定了（le）世界上第一（yī）个信息安全管理体系标（biāo）准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为（wéi）工商业和大、中、小型组（zǔ）织实施信息安全管理的指南。由于该标（biāo）准采用建议和指（zhǐ）导（dǎo）方式编写，因而不（bú）宜作（zuò）为认证标（biāo）准使用。 

· 1998 年（nián），为了适（shì）应第三方认证的需要，英国（guó）又制定了第一个信息安全管理（lǐ）体系认证标准 --BS7799-2 ： 1998 《信息安全管理体系（xì）规范》，作为对（duì）一个（gè）组（zǔ）织的（de）全（quán）部（bù）或（huò）部分信息安全管理体系进（jìn）行（háng）评审认证（zhèng）的依据标准（zhǔn）。 

· 1999 年，鉴于计算机和信息处理（lǐ）技术，尤（yóu）其是网络和（hé）通信领域应用的迅速发展（zhǎn），英国（guó）又对信息安全管理体系标准进（jìn）行了修订。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取（qǔ）代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修订的 1999 版标准进（jìn）一步强调了组（zǔ）织在商务（wù）工（gōng）作中所（suǒ）涉及的信息安全和信息安全（quán）责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建（jiàn）立（lì）和实施（shī）符（fú）合 BS7799-2 ： 1999 标准要求的（de）信息安全管理体系提（tí）供了较佳的（de）应用建议。 

· 2000 年（nián） 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式（shì）采纳成为国际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息技术（shù）—信息安全管理实施规则》，另外， BS7799-2 ： 1999 也即将于 2002 年底被 ISO/IEC 作为蓝本（běn）修订后（hòu）成为可用于认证的 ISO/IEC 的《信息安全管理（lǐ）体系规范》。 

信息安全（quán）认证是实（shí）现（xiàn）信息安全目标的较佳途径：

BS7799-2：2002信息安全（quán）管理（lǐ）体系规（guī）范向（xiàng）组织提出了一系列认证（zhèng）的要求，在总则中提出组织应建立并保持一个文件化的信（xìn）息安全管理体系，阐述（shù）被保护的资产、组织风险（xiǎn）管理的渠道、控制目标及控制方式和需要的保证等级；通过（guò）建立管（guǎn）理架构并加以实施（shī）来达到（dào）识别控制目标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则包括10个（gè）方面： 　

· 安全（quán）方针：为（wéi）信息安全提供管理指导和支持； 

· 组织安全：建立信息安全架构（gòu），保证组织的内部管理；被第三方访问（wèn）或外协时，保障（zhàng）组织（zhī）的信息安全； 

· 资产的归类与控（kòng）制：明确资产责任，保持对组织资产的适当保护；将信息进行归类，确保信息资产受到适当（dāng）程度的（de）保护（hù）； 

· 人员安全：在工作说（shuō）明（míng）和资源方面，减少因人（rén）为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训（xùn），确保用户清楚知道信息安全的危险性和相关事项（xiàng），以便在他们的日（rì）常（cháng）工作中支（zhī）持组织（zhī）的安全方针（zhēn）；制定（dìng）安全事故或故障的反应程序，减（jiǎn）少由安全事故和故障造成的（de）损失（shī），监控安全事件并从这种事件中吸取教训； 

· 实物与环境安全：确定安全区域，防（fáng）止非授权访问（wèn）、破（pò）坏（huài）、干扰商务场所和（hé）信息（xī）；通过保（bǎo）障设备安全，防止资产的（de）丢失、破坏、资产危害及商务活动（dòng）的中断；采用通（tōng）用的（de）控（kòng）制（zhì）方式，防止信（xìn）息或信（xìn）息处（chù）理设施损（sǔn）坏或失窃； 

· 通（tōng）信和操作方（fāng）式管理：明确操作程序（xù）及其责任，确（què）保信息处理设施的正确、安全操（cāo）作；加强系统策划与验收，减少（shǎo）系统（tǒng）失效风险；防范恶意（yì）软件以保持软件和信息的（de）完整性；加强内务管理以保持信（xìn）息处理和通讯服务的完整性和有效性通过 ; 加（jiā）强网络管理确保（bǎo）网（wǎng）络中的信息安全（quán）及其辅助设施受到（dào）保护；通过保护媒体处理的安全（quán） , 防止资（zī）产损坏和商务活动的中断（duàn）；加强信（xìn）息和软（ruǎn）件的交（jiāo）换的（de）管（guǎn）理（lǐ），防（fáng）止组织间（jiān）在交换信息时发生丢失、更改和（hé）误用； 

· 访问控（kòng）制：按照访问（wèn）控制的商务要求，控制信（xìn）息访（fǎng）问（wèn）；加强用户访问管（guǎn）理，防止非（fēi）授权访问（wèn）信（xìn）息系统；明确用户职责，防（fáng）止非授权的用户访问；加（jiā）强网络（luò）访（fǎng）问控制，保护网络服务程序；加（jiā）强操作系统访问控（kòng）制 , 防止非授权的（de）计算机（jī）访问（wèn）；加（jiā）强应（yīng）用访（fǎng）问（wèn）控制，防止非授权访（fǎng）问系统中的信息（xī）；通过监（jiān）控系统的（de）访问与使用（yòng），监测非授权行（háng）为；在（zài）移动式计算（suàn）和电（diàn）传（chuán）工作方面 , 确保使用移动（dòng）式计算和（hé）电传工（gōng）作设施的信息安全； 

· 系统开发与维护：明确系（xì）统安（ān）全要求，确保安全性已（yǐ）构成信息系统（tǒng）的一部份；加强应用系统（tǒng）的（de）安全，防（fáng）止（zhǐ）应用系（xì）统（tǒng）用户数据的丢（diū）失、被修改或（huò）误（wù）用；加强密码技术控制，保（bǎo）护信息的保密性、可（kě）靠性（xìng）或完整性；加强系（xì）统文件的（de）安全，确保 IT 方案及其支持活动（dòng）以安全的方式进行；加强开发和支持过程（chéng）的安全，确（què）保应用系统软件和信息（xī）的（de）安全； 

· 商务连（lián）续性管理：防止商务活动的中断及（jí）保护关键商务过程不（bú）受重大失误或灾难（nán）事故的（de）影响； 

· 符合：符（fú）合法（fǎ）律法规要（yào）求，避免刑法、民（mín）法、有关法令法规或合同约定事（shì）宜及（jí）其（qí）他安全要求的规定相抵触（chù）；加（jiā）强安全方针（zhēn）和技术符合性评审，确保体系按照（zhào）组织的（de）安全方针及（jí）标准执（zhí）行；系（xì）统审核考虑（lǜ）因素，使效果较大化 , 并使系统审核（hé）过程的影响较小化。 　 

在（zài）国际标准 ISO/IEC17799 给出了为实现（xiàn）信息安全认证所（suǒ）需的各项措施的（de）详细指（zhǐ）导，具有（yǒu）很强的可（kě）操作性和指导（dǎo）性（xìng）。

归根结底，信息安全工作（zuò）的目的就（jiù）是在法律（lǜ）、法（fǎ）规（guī）、政策的支（zhī）持与（yǔ）指导下，通（tōng）过采用合适的安全技术与安全管理措施，提供（gòng）安全需求的保（bǎo）证，而 BS7799 信息安全（quán）认证标准正（zhèng）是总和了这（zhè）些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信息（xī）安全（quán）的要求。

 ISO27001：2005 《信息安全管理（lǐ）体系要求》

 ISO27001 ： 2005 《信息（xī）安（ān）全管（guǎn）理体系要求》是（shì）关于信息安全管理的标准，是（shì）标准不是方法，达到这些标准的要（yào）求（qiú）并不难，重要（yào）的是用什（shí）么方法去实现。企业应（yīng）将实施标准作为改善内部管理的一次机会，不应该将标（biāo）准做为一（yī）种简单的模式（shì）对现有流程运作（zuò）进行套（tào）用，应对（duì）现有（yǒu）的组织运作流程进行详细（xì）分析（xī），有针对性地设计（jì）并改善现有管理体（tǐ）系（xì）、改善薄弱环节、改善运作（zuò）流程及内部沟通，并有（yǒu）效地（dì）将先（xiān）进的管（guǎn）理思想融合到具体的实施程（chéng）序中，才能发（fā）挥（huī）标准的真正（zhèng）作用。

获得认证证书不是较终目的，建立有责（zé）、有序、有效的（de）信息安全管理体系，提高（gāo）员工（gōng）的信（xìn）息安全意识，不断获取并运用先进的管理方法和（hé）技术手段才能使（shǐ）企业的信息安全管理水（shuǐ）平得以（yǐ）持续的发展和提升。