信息（xī）安（ān）全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性（xìng） (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为（wéi）保（bǎo）障信息仅仅为那些被授权使用（yòng）的人（rén）获取。

 信息的保密性（xìng）是针对（duì）信息被允许访问（ Access ）对（duì）象的多（duō）少而不同（tóng），所有人员都（dōu）可以访问的信息为公（gōng）开信息，需要限制访问的（de）信息一（yī）般（bān）为敏（mǐn）感信息或秘（mì）密（mì），秘密可以根据信息（xī）的重要性及保密要求分为不同的密（mì）级，例如国家（jiā）根（gēn）据秘密泄露对国家（jiā）经济、安全利益（yì）产生的影响（后果（guǒ））不同，将国家（jiā）秘（mì）密分（fèn）为秘密（mì）、机（jī）密和绝密三个等级，组织可根据其信息安（ān）全的实际，在符合《国家保密（mì）法（fǎ）》的（de）前提下将其信息划分为（wéi）不同的密级；对于具体的（de）信息的保密性有时效（xiào）性（xìng），如秘密到期解密等。

 •  完整性：为保护信息及其处理方法（fǎ）的准（zhǔn）确性和完整性（xìng）。

信息（xī）完（wán）整（zhěng）性一方面是指信息在利用、传输、贮存（cún）等过（guò）程中不被篡（cuàn）改、丢失、缺损（sǔn）等，另一方面是指信息处理的方法的正确性。不正当的（de）操（cāo）作（zuò），如（rú）误删除文件，有可能造成重要文件的丢失。

 •  可用（yòng）性：为保障（zhàng）授权（quán）使用（yòng）人在需要时可以获取信息（xī）和使用相关的资产。

信息的（de）可用性是指信息及相关的（de）信息资产在（zài）授权人需要的时候，可（kě）以立即获（huò）得（dé）。例如通信（xìn）线路（lù）中断故障会（huì）造成信息的在一段时间内不可（kě）用，影响正常的商业（yè）运作，这是（shì）信（xìn）息可用性的破坏。不同类型的信息及相应（yīng）资产的信息安全（quán）在保（bǎo）密性（xìng）、完整性及可用性方面关注点不（bú）同，如组织的（de）专有技（jì）术、市场（chǎng）营销计划等（děng）商（shāng）业秘密对组织来（lái）讲保守机密尤其重要；而对于工业自（zì）动控制系统，控（kòng）制信息的（de）完整性相（xiàng）对其保密性重要得多。

为（wéi）什么需要信（xìn）息安（ān）全？

信（xìn）息、信息处理过程及（jí）对信息起支（zhī）持作用（yòng）的信息系统和（hé）信息（xī）网络都是（shì）重要的（de）商务（wù）资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和（hé）商业形象都是至关重要的。然（rán）而，越来越多的组织（zhī）及（jí）其信息（xī）系统（tǒng）和网络面临着包括计算机诈骗（piàn）、间谍、蓄意破（pò）坏、火灾、水灾等大范（fàn）围的安全威（wēi）胁，诸如计算机病毒、计算机入侵、 Dos 攻击等手段造成的（de）信息灾（zāi）难（nán）已变得（dé）更加普遍 , 有计划而不易（yì）被察觉。组织（zhī）对信息系（xì）统和信息服务（wù）的依赖（lài）意（yì）味着更易受（shòu）到安（ān）全威胁的破坏，公共（gòng）和私人网络的（de）互连及信息资源的共享增大了实现访（fǎng）问控制的难度。许多信息系（xì）统本身就不是按照安全系统的要求（qiú）来（lái）设计的（de），所以仅依靠技（jì）术手段来实现信息安（ān）全有其局限性，所以信息安全（quán）的（de）实现须得到（dào）管理和程序控制的适当支持。确定应采取（qǔ）哪（nǎ）些（xiē）控制（zhì）方式则需要周密计划，并（bìng）注意细节（jiē）。信息安（ān）全（quán）管理（lǐ）至少需要组织中的（de）所有雇员的参与（yǔ），此外还需要供应商、顾客或股（gǔ）东的参与和信息安全的专家建议。在信息系统设计（jì）阶段就将安全要求和控制一体化考虑（lǜ），则成本会更低、效率会（huì）更高。

 BS7799的信（xìn）息（xī）管理过程：

①确（què）定信（xìn）息（xī）安全（quán）管理方针（zhēn）。

②确定 ISMS( 信息安全管理体（tǐ）系) 的范围

③进行（háng）风（fēng）险分（fèn）析。

④选择控（kòng）制目标并进行控制。

⑤建立（lì）业务（wù）持（chí）续计划。

⑥建立并实（shí）施安（ān）全管理体系。

 建立信息（xī）安全管理体系的作（zuò）用：

 任何组织，不（bú）论它在信息（xī）技术（shù）方（fāng）面如何努力以及采纳如（rú）何新的信息安全（quán）技（jì）术（shù），实际上在信（xìn）息安全管（guǎn）理方面都还存在（zài）漏洞（dòng），例如：

· 缺（quē）少（shǎo）信息安全管理论坛，安全导向不明确，管（guǎn）理支（zhī）持不明（míng）显（xiǎn）； 

· 缺（quē）少跨部门的信息（xī）安全协调机制； 

· 保护特定资产以及完成（chéng）特定安全过（guò）程的职责还不明确； 

· 雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生（shēng）产（chǎn）和（hé）工作场（chǎng）所； 

· 组织信息系统（tǒng）管理制度不够（gòu）健全； 

· 组织（zhī）信（xìn）息系统主机（jī）房安全存（cún）在隐患，如（rú）：防火设施存在问题，与危险（xiǎn）品仓库同（tóng）处一幢办公楼等； 

· 组织信息系统备（bèi）份设备仍有欠缺； 

· 组（zǔ）织信息系（xì）统安全防（fáng）范技（jì）术（shù）投入欠缺（quē）； 

· 软件（jiàn）知（zhī）识产权保护欠缺； 

· 计算机房、办（bàn）公场所等物理防范措施欠缺； 

· 档（dàng）案、记录（lù）等缺（quē）少可靠贮存场所（suǒ）； 

· 缺少（shǎo）一旦发生意外时的保证生产经营连（lián）续性的（de）措施和计（jì）划； 

        ……等（děng）等（děng）。

为什（shí）么要建立和实施ISO27001信息（xī）安全管理体系认证（zhèng）（2）

其实，组织可以参（cān）照信（xìn）息（xī）安全（quán）管理模型，按照先进的信息安全（quán）管理（lǐ）标（biāo）准（zhǔn） BS7799 标准（zhǔn）建（jiàn）立组织完整的信息安全（quán）管（guǎn）理体系并（bìng）实施与保持（chí），达到动态（tài）的、系统的（de）、全员参与、制度化的、以预防（fáng）为（wéi）主的信（xìn）息安全管理方式，用（yòng）较低的成本，达到可接受的信（xìn）息安全水平，就可以从根（gēn）本上保证业务（wù）的连续性。组织建立、实施与保（bǎo）持信息（xī）安全管理（lǐ）体系将会产生如下作用：

· 强化（huà）员工的（de）信息安全意识，规范组织信息安（ān）全行为； 

· 对（duì）组织的关键信息资产进行全面（miàn）系统（tǒng）的保护，维（wéi）持竞争优势； 

· 在信息系统受到侵（qīn）袭（xí）时，确（què）保业务持续开展并将损（sǔn）失降（jiàng）到较低程（chéng）度； 

· 使（shǐ）组织的生（shēng）意伙伴（bàn）和（hé）客户对组织充满（mǎn）信心； 

· 如果通过体系认证，表明（míng）体系符合标准，证（zhèng）明（míng）组织（zhī）有（yǒu）能力保障重要信息，提（tí）高组（zǔ）织的名度与信任度； 

· 促使管理层坚（jiān）持贯彻（chè）信息（xī）安全保障体系（xì）。 

BS7799标准概述：

· 1995 年，英国（guó）贸（mào）工部根据英国（guó）国内企业对信息安全（quán）日益高涨的呼（hū）声（shēng），组织大企业的信息（xī）安全经理们（men），制定了世（shì）界上第一（yī）个信息安全管理体系标准 BS7799-1 ： 1995 《信息安全管理实施规则》，作为工商业和大、中、小（xiǎo）型组织实施信息安全管理的指南。由于该标准采用（yòng）建（jiàn）议和指导（dǎo）方式编写，因而不宜（yí）作为认证（zhèng）标准使用。 

· 1998 年，为了适应第三方认证的需要（yào），英国又制定（dìng）了第一个信息安（ān）全管理体系认证标准 --BS7799-2 ： 1998 《信息（xī）安全管理体系（xì）规范》，作（zuò）为对一个组织的全部（bù）或部分信息安全管理体（tǐ）系进行（háng）评审认（rèn）证的依据标准。 

· 1999 年，鉴于（yú）计（jì）算机（jī）和信（xìn）息处理技（jì）术，尤其是（shì）网络和通信（xìn）领域应用的迅速发展，英国又对信息安全管理体（tǐ）系标准进行（háng）了（le）修（xiū）订。修订后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标（biāo）准进一（yī）步强调了组织在商务工作中所涉及的（de）信息安全（quán）和（hé）信息安全责任。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何（hé）建立和实（shí）施符合 BS7799-2 ： 1999 标准要求（qiú）的信息安全管理（lǐ）体系（xì）提供（gòng）了较（jiào）佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为（wéi）国（guó）际标准（zhǔn） -- ISO/IEC 17799 ： 2000 《信息技术—信息安（ān）全管理实（shí）施规则》，另外， BS7799-2 ： 1999 也（yě）即将于（yú） 2002 年底（dǐ）被 ISO/IEC 作为（wéi）蓝本修订（dìng）后（hòu）成为（wéi）可（kě）用（yòng）于认证（zhèng）的（de） ISO/IEC 的《信息安（ān）全管理（lǐ）体系规范（fàn）》。 

信息安全认证（zhèng）是实现（xiàn）信息安全目标的较佳途径：

BS7799-2：2002信（xìn）息安全（quán）管理体（tǐ）系规范向组织（zhī）提出了一系列认证的要求，在总则（zé）中提出组（zǔ）织应建立并保持一个文（wén）件化的信息安全（quán）管理体系（xì），阐述（shù）被保（bǎo）护的资产、组织风险管理的渠道、控制目标及控制方（fāng）式和需要的保证等级；通过（guò）建立管理架构并加以实施（shī）来达（dá）到识别（bié）控制目标和（hé）控制（zhì）方式，并形成（chéng）文件和记录。

BS7799-2：2002的控制细则（zé）包括10个方面： 　

· 安全（quán）方针：为信息安全提供管（guǎn）理指导和支持； 

· 组（zǔ）织安（ān）全（quán）：建立信息安（ān）全（quán）架（jià）构，保证组织的内部管理；被（bèi）第三方访问或（huò）外协时，保障组织的信息安全（quán）； 

· 资产的（de）归类与控制：明（míng）确（què）资产责任，保持对组织资产（chǎn）的适当（dāng）保护；将（jiāng）信息（xī）进行归类，确保信息资（zī）产受（shòu）到适当程度（dù）的保护； 

· 人员（yuán）安全：在工作说明和资源方面，减少因人为错误、盗（dào）窃、欺诈（zhà）和设（shè）施误用造成的（de）风险（xiǎn）；加强用户培训，确保用户清（qīng）楚知道信息安（ān）全的危险性和（hé）相关事（shì）项（xiàng），以便（biàn）在他们的日（rì）常工作中支持组织的安全方针（zhēn）；制定安全事故或故障的反应程（chéng）序（xù），减少由（yóu）安全事故和故障造（zào）成的损（sǔn）失，监控（kòng）安全（quán）事件并从这种事件中吸（xī）取教训； 

· 实物与环境安全：确定安全区域，防止非（fēi）授权访问、破坏、干扰商务场（chǎng）所和信息；通过保障设（shè）备安全（quán），防止（zhǐ）资产的丢失、破坏、资产（chǎn）危害及商务（wù）活动的（de）中断；采（cǎi）用通（tōng）用（yòng）的控（kòng）制方式，防止信息或信息处理设施损坏或失（shī）窃； 

· 通信和操（cāo）作方（fāng）式管理：明确（què）操作（zuò）程序及其责任，确保信息（xī）处（chù）理（lǐ）设施的正确、安全操作；加（jiā）强（qiáng）系统策划与验收（shōu），减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加强（qiáng）内务管理以（yǐ）保持信息（xī）处理（lǐ）和通讯服务的（de）完（wán）整性和（hé）有效性通过 ; 加强网络（luò）管理确（què）保网（wǎng）络（luò）中的信息（xī）安全及其辅助设施受到保护；通过保护媒体处理的（de）安全 , 防止（zhǐ）资产损坏和商务活动的中断；加强（qiáng）信息（xī）和软件的（de）交（jiāo）换的管（guǎn）理，防止组（zǔ）织间在（zài）交（jiāo）换信（xìn）息时发生丢失、更改（gǎi）和（hé）误用（yòng）； 

· 访（fǎng）问控制：按照访问控（kòng）制的（de）商务要（yào）求，控制信息访问（wèn）；加强（qiáng）用户访（fǎng）问管理（lǐ），防止非授权访（fǎng）问信息（xī）系（xì）统（tǒng）；明（míng）确用户职责，防止非授权的用户访（fǎng）问；加强网络访问控制，保护网络服务程序；加强操作系统访问控制（zhì） , 防止非授权的计算机访问；加强（qiáng）应用访（fǎng）问控制，防止非授（shòu）权访问系（xì）统中的信息；通（tōng）过监控系统（tǒng）的（de）访问与使用，监测非授（shòu）权行为；在移动式计算和电传工作方面（miàn） , 确保使用（yòng）移动式计算（suàn）和电传工作设施的信息（xī）安全； 

· 系统开（kāi）发与（yǔ）维护：明确系统安全要求，确（què）保安全性已构成信息（xī）系统（tǒng）的一（yī）部份；加强应（yīng）用系统的安（ān）全，防止应用（yòng）系统用户数据的丢（diū）失、被修改或误用；加（jiā）强密码技术控（kòng）制（zhì），保护信息（xī）的保密性、可靠性或完整性；加强系（xì）统文（wén）件（jiàn）的安（ān）全（quán），确保 IT 方（fāng）案及（jí）其（qí）支持活动以安全的（de）方式进行；加强开发和（hé）支持过程的安全，确保（bǎo）应用系统软件和信息的安全； 

· 商务（wù）连（lián）续性管理：防止商（shāng）务活动的中断及保护关键商务过程不受重大失（shī）误或灾难（nán）事故的影（yǐng）响； 

· 符合：符（fú）合法律法规要（yào）求，避免刑法（fǎ）、民法、有关（guān）法令法规或合同（tóng）约定事宜及其他（tā）安全要（yào）求的（de）规定相抵触（chù）；加强安全方针和技术符合性评审，确保体系按照组织的（de）安（ān）全方针及（jí）标准执行（háng）；系统审核考虑因素（sù），使效（xiào）果较（jiào）大化（huà） , 并（bìng）使系（xì）统审核（hé）过程（chéng）的影响较小化（huà）。 　 

在（zài）国际标（biāo）准 ISO/IEC17799 给出了为实现信息安全认证所（suǒ）需的各项（xiàng）措施的详细指导，具（jù）有很强的可（kě）操作性和指（zhǐ）导性。

归（guī）根结底，信息安全工作的（de）目的就是在法律、法规、政策的支（zhī）持与指导下，通过采用合适的安（ān）全（quán）技（jì）术与（yǔ）安全管理（lǐ）措施，提供（gòng）安全需求的（de）保（bǎo）证（zhèng），而（ér） BS7799 信息安全认证标准正（zhèng）是总和了这些要求。组织可以根据自身（shēn）特点，在（zài） ISO/IEC 17799 指导下，实现信息（xī）安全的要求。

 ISO27001：2005 《信（xìn）息安全管理体（tǐ）系要求》

 ISO27001 ： 2005 《信（xìn）息（xī）安全（quán）管理体系（xì）要求》是关于信息安全管理的标准（zhǔn），是标准不是（shì）方（fāng）法，达到这（zhè）些标（biāo）准的要求并不难，重要的（de）是用什么方法去实现。企业应将实施标（biāo）准作为改（gǎi）善内部（bù）管理的一次机会，不应该将标准做为（wéi）一种简单的模式对现有流程（chéng）运作进行套用（yòng），应对现有（yǒu）的（de）组织运作流程进行详细分析（xī），有针对性地设计并改善现有管（guǎn）理体（tǐ）系、改善薄（báo）弱环节、改善（shàn）运作流程及内部沟通，并有（yǒu）效地（dì）将先进的管理思想融合到具体的（de）实施程序中，才能发（fā）挥标准（zhǔn）的真正作用。

获（huò）得认证证书不是（shì）较终目的，建立有责、有序（xù）、有效（xiào）的信息安（ān）全管理体系，提（tí）高员工的（de）信息（xī）安（ān）全意识，不（bú）断获取并运用（yòng）先进的管理方法和（hé）技术手段才（cái）能使企业的（de）信息安全管理水平得以持续的发展和提（tí）升。