信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

•  保密性：为保障（zhàng）信息仅仅为那（nà）些被授权使用的人获（huò）取。

 信息（xī）的保密性是针对信（xìn）息被允许访问（wèn）（ Access ）对（duì）象的多少而不同，所有人员都可以访问的信息（xī）为公开信息，需（xū）要限制访（fǎng）问（wèn）的信息一般为敏感（gǎn）信息或秘（mì）密，秘密可以根据信息（xī）的重要性及保密要求分为不同的密级，例（lì）如国家根（gēn）据秘（mì）密泄（xiè）露（lù）对（duì）国家经济、安（ān）全（quán）利益产生的影响（后果）不同，将（jiāng）国家秘密分为秘密、机密和绝密三个等级，组织可根（gēn）据其信息安全的实际，在（zài）符合《国家保密法》的前（qián）提下将（jiāng）其（qí）信息划分为不同（tóng）的密（mì）级；对于具体的信息的保密（mì）性有（yǒu）时效性，如秘密到期解密（mì）等。

 •  完整性：为保（bǎo）护信息及其处理方法的准确性和完整性。

信息（xī）完整性（xìng）一方面（miàn）是指（zhǐ）信息在利用、传输、贮存等过程（chéng）中不被篡（cuàn）改、丢失（shī）、缺损等，另一方面是指（zhǐ）信息处理的（de）方法（fǎ）的正确性。不正当（dāng）的操作，如误删（shān）除文件，有（yǒu）可能造成重要文件的丢（diū）失。

 •  可用性（xìng）：为保障授权使用人在需（xū）要时可以获取信息和（hé）使用相关的资产。

信息的可用性是指信息及（jí）相关（guān）的信息资产在（zài）授权人需要的（de）时候，可（kě）以立即（jí）获得（dé）。例如通信线路中断故（gù）障会造成信息的在一段时间内不可（kě）用（yòng），影响正常的（de）商业运作（zuò），这是（shì）信息可用性的破坏。不同类型的信息及相应资产的信息（xī）安（ān）全（quán）在保密性、完整性及（jí）可用性方（fāng）面关注（zhù）点不同，如组织的（de）专有技（jì）术、市（shì）场营销计划（huá）等商业秘密对组织来讲保守机密（mì）尤其重要；而对于工业（yè）自动控制系统（tǒng），控制信息（xī）的完整（zhěng）性（xìng）相对其保密性重要得多（duō）。

为什（shí）么需（xū）要（yào）信息安全？

信息、信息处理过（guò）程及对信息起支持作用的信息（xī）系统和信息网络都是重（chóng）要的商务资产。信息的保（bǎo）密性、完（wán）整性和（hé）可（kě）用（yòng）性对保（bǎo）持竞争优势、资（zī）金流动、效益、法律符（fú）合性（xìng）和商业（yè）形象都是至关重要的（de）。然（rán）而，越来越多的（de）组织（zhī）及（jí）其信息系统和网络面（miàn）临着包括计算机（jī）诈骗、间（jiān）谍、蓄意破（pò）坏、火灾、水（shuǐ）灾等大范围（wéi）的安（ān）全威胁，诸如计算机病（bìng）毒、计算机（jī）入侵、 Dos 攻击（jī）等手段（duàn）造（zào）成（chéng）的信息灾难已变得更加（jiā）普遍 , 有（yǒu）计（jì）划（huá）而不易被察觉。组织（zhī）对信息系统和信息服务的依赖意味着更易受到（dào）安全（quán）威胁的破坏（huài），公共（gòng）和私（sī）人网络的互连及（jí）信息资（zī）源的共享增大了实现访问（wèn）控制的难度（dù）。许多（duō）信息（xī）系统本身就不是按（àn）照安全系统的（de）要求来（lái）设计的，所（suǒ）以仅依靠技术手段来实现（xiàn）信息安全有其局限性，所以信（xìn）息安全的实现须得到（dào）管理和程序控（kòng）制的适当（dāng）支持。确（què）定应采取哪些控制方式则需要周密计划，并注意细节（jiē）。信息（xī）安（ān）全（quán）管理至少需（xū）要组织中的（de）所（suǒ）有雇员的（de）参与，此外（wài）还需要供应商、顾客（kè）或股（gǔ）东的（de）参与和（hé）信息安全（quán）的专家建议。在信息系统设计阶（jiē）段就将安全要求和控制（zhì）一体化（huà）考虑，则（zé）成本（běn）会更低、效率会更高。

 BS7799的信息管理过程（chéng）：

①确定信息安全管理（lǐ）方针。

②确定 ISMS( 信息安（ān）全管理（lǐ）体系（xì）) 的范围

③进行风险分析。

④选（xuǎn）择控制目标（biāo）并进（jìn）行控（kòng）制。

⑤建立业务持续计划。

⑥建（jiàn）立（lì）并实施安全管理体（tǐ）系。

 建（jiàn）立（lì）信息（xī）安全管（guǎn）理体系的作用：

 任何组织，不论它在信息（xī）技术方面如何努力以及采（cǎi）纳如何（hé）新（xīn）的信（xìn）息安（ān）全技术，实际上在信息安全管理方面都还存在漏洞（dòng），例如：

· 缺少信（xìn）息安全管理论坛，安全（quán）导向不明（míng）确，管理支（zhī）持不明显（xiǎn）； 

· 缺少跨部门的（de）信息安全协调机制； 

· 保护特定（dìng）资产以及完成（chéng）特（tè）定安全（quán）过程的职（zhí）责还不（bú）明确； 

· 雇员（yuán）信（xìn）息安全意识（shí）薄（báo）弱，缺少防范意识，外（wài）来（lái）人员很容（róng）易（yì）直接进入（rù）生产和工作场所（suǒ）； 

· 组织信（xìn）息系统管理制度不（bú）够健（jiàn）全； 

· 组织信（xìn）息系统主机（jī）房安全存在隐患，如：防火（huǒ）设施存在问题，与危险品仓库同处一（yī）幢办公楼（lóu）等； 

· 组织信息系（xì）统备份设备（bèi）仍（réng）有欠缺； 

· 组织信（xìn）息系统安全防范技术投（tóu）入欠缺； 

· 软件知识（shí）产权保护欠缺； 

· 计算机房、办（bàn）公场（chǎng）所等物理防范措施欠缺； 

· 档（dàng）案、记录等缺少可靠贮存场所（suǒ）； 

· 缺少一旦发生意外时的保证生产经营连续性的措施和（hé）计（jì）划； 

        ……等（děng）等。

为什么要（yào）建立和实施ISO27001信息安全管理体系认证（2）

其实，组织可以参照信息安全管理模型，按照先进的信息安全（quán）管理标准 BS7799 标准（zhǔn）建（jiàn）立组织完整（zhěng）的信（xìn）息安全管理体（tǐ）系并实施与保持，达到动态的、系统的、全员参（cān）与（yǔ）、制度化的、以预防为主的信息安全管理方（fāng）式，用（yòng）较低的（de）成本，达到可接（jiē）受的（de）信息安（ān）全水平，就（jiù）可以从根本上保（bǎo）证（zhèng）业务的连续性。组织建立、实施与保（bǎo）持信息安全管理体（tǐ）系（xì）将会产生如（rú）下作（zuò）用：

· 强（qiáng）化（huà）员工的信息安全（quán）意识，规范组织（zhī）信息（xī）安全行（háng）为； 

· 对组（zǔ）织的（de）关键信息资产进行全面系（xì）统的保护，维持竞争优势； 

· 在信（xìn）息系统受到侵（qīn）袭时，确保业（yè）务持（chí）续开展并将损失降到较低程度（dù）； 

· 使组织的（de）生意伙伴（bàn）和客（kè）户对组织充满信心； 

· 如果通过体系认证，表明体系（xì）符合标（biāo）准，证明组（zǔ）织有能力保障（zhàng）重要信息，提高组织的名度与信任度； 

· 促使管理层（céng）坚持贯彻信息安（ān）全（quán）保障体系。 

BS7799标准概述：

· 1995 年，英（yīng）国贸（mào）工部根据英国国内企业对（duì）信（xìn）息安（ān）全日益高涨的（de）呼声（shēng），组织（zhī）大（dà）企业的信息安全经理们，制定了世界上第一个（gè）信息安全管理体系标准 BS7799-1 ： 1995 《信息（xī）安全管理实施规则》，作为工商业（yè）和大（dà）、中、小型（xíng）组织实施信息安全管理的指南。由于（yú）该标准采用（yòng）建（jiàn）议和指导方（fāng）式编写，因（yīn）而不宜作为（wéi）认证标准使用。 

· 1998 年（nián），为了适（shì）应第三方认证的需要，英国（guó）又制定了第（dì）一个信息（xī）安全管理体系认证标准 --BS7799-2 ： 1998 《信息安全管理体系（xì）规范》，作为对一个组织的（de）全部或部分信息安全（quán）管（guǎn）理体系进行评审认证（zhèng）的依据标准（zhǔn）。 

· 1999 年，鉴于计算机和信息处理技（jì）术，尤其是网络和通信领域（yù）应（yīng）用的迅速发（fā）展（zhǎn），英国又对信息安全（quán）管理体系（xì）标准进行了修（xiū）订（dìng）。修订（dìng）后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代（dài）了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准进一步强调了组织在商务工（gōng）作中所（suǒ）涉及的信息（xī）安全（quán）和信息安全责任。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如（rú）何建（jiàn）立和（hé）实施符合（hé） BS7799-2 ： 1999 标准要求（qiú）的信（xìn）息（xī）安全管理（lǐ）体系提供了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经（jīng）被 ISO/IEC 正式采（cǎi）纳（nà）成为国际标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技术—信息（xī）安全（quán）管（guǎn）理实（shí）施规则》，另外， BS7799-2 ： 1999 也即将（jiāng）于（yú） 2002 年（nián）底被（bèi） ISO/IEC 作为蓝本（běn）修（xiū）订后成为可用于认证的 ISO/IEC 的《信息安全管理体系规（guī）范》。 

信（xìn）息安全认证是（shì）实现信息安全（quán）目（mù）标的较（jiào）佳途径：

BS7799-2：2002信息安（ān）全管理体系规范（fàn）向（xiàng）组织提出了一系列认证的要求，在总则中提出组织应（yīng）建（jiàn）立并保持（chí）一（yī）个文件化的（de）信息安全管理体系，阐述被（bèi）保护（hù）的资产、组织（zhī）风险管理的渠道、控制目标及控制方式和需要的保证等级；通过建立管（guǎn）理架构（gòu）并加以（yǐ）实施来达到识别控（kòng）制目标和控制（zhì）方（fāng）式，并形成文件和记（jì）录。

BS7799-2：2002的控制细则包括（kuò）10个方面： 　

· 安全方（fāng）针：为信息安（ān）全提供管理指导和（hé）支持； 

· 组织安全：建立（lì）信（xìn）息安全架构，保证组织的内部管理；被第三方访问或外协时（shí），保（bǎo）障组织的信（xìn）息安全； 

· 资产的归类与（yǔ）控（kòng）制：明确资产责任，保持（chí）对组织资（zī）产的适当保（bǎo）护；将（jiāng）信（xìn）息进行归类，确保信息资产受到适当程度的保护； 

· 人员安全：在工作说明和资（zī）源方面，减少因人为错误、盗窃（qiè）、欺诈和设（shè）施误用（yòng）造成的风（fēng）险；加（jiā）强用户（hù）培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织（zhī）的安全（quán）方针；制定安全事（shì）故或故障的反应程（chéng）序，减少由安全事故（gù）和故障造（zào）成的损失，监控（kòng）安全事件并（bìng）从（cóng）这种（zhǒng）事（shì）件中吸取（qǔ）教（jiāo）训； 

· 实物与（yǔ）环境（jìng）安全：确定安（ān）全区（qū）域，防止非授权访（fǎng）问、破坏、干扰商（shāng）务场所和信息；通过保障设备（bèi）安全（quán），防止资产（chǎn）的丢失、破坏（huài）、资产危害及商务活动的中断；采用通用的控制（zhì）方式，防止（zhǐ）信息（xī）或信息处理设施损坏或失窃； 

· 通（tōng）信和（hé）操作方式管理：明确（què）操（cāo）作程（chéng）序及其责任，确保信息处理设施的正确、安全操作（zuò）；加（jiā）强系统策（cè）划与验收，减少（shǎo）系统失效风险；防范恶意软件（jiàn）以保（bǎo）持软（ruǎn）件和（hé）信息的完整性；加强内务管理（lǐ）以保持信息（xī）处理和通讯（xùn）服务的完整性和有效性（xìng）通过 ; 加强网络管理确保网络中的信息安全及其辅助设（shè）施受到（dào）保护；通过保护媒体处理的安全 , 防止资产损坏和商务活动的中断；加强（qiáng）信息和软件（jiàn）的交换的管理，防止组织间在交（jiāo）换信息时发生丢失、更（gèng）改和误用； 

· 访问控制：按照访（fǎng）问控制的商（shāng）务（wù）要（yào）求，控制信息访（fǎng）问；加强用户访问管理，防（fáng）止非（fēi）授权访问信息系统；明确（què）用户职（zhí）责，防止非授（shòu）权（quán）的（de）用户访（fǎng）问；加强网络访（fǎng）问控制，保护网（wǎng）络（luò）服务程序；加强操作系统访问控制 , 防（fáng）止非授权的计算机访问；加强应用访问控制，防止非授（shòu）权（quán）访问系统中的信息；通过监控系统的（de）访问与使用，监测非授权行为；在移动式计算和电传工作方面 , 确保使用移动式计算和（hé）电传工作设施的信（xìn）息安全（quán）； 

· 系统开发与维护：明确（què）系统安全要（yào）求，确保（bǎo）安全性已构成信（xìn）息系（xì）统的一（yī）部份；加强应用系统的安（ān）全（quán），防止应（yīng）用系统（tǒng）用户数据的丢失（shī）、被修（xiū）改或误用；加强密码技（jì）术（shù）控制（zhì），保护信息的（de）保（bǎo）密性、可靠性或完整性；加（jiā）强系统文件的安全，确保（bǎo） IT 方案及其（qí）支持活动（dòng）以安全的方式进（jìn）行；加强（qiáng）开发和支持过程的（de）安全，确保应用（yòng）系统软件和信息的安全； 

· 商务连（lián）续性管（guǎn）理：防止（zhǐ）商务活动的中断及保护关键商务过程不（bú）受（shòu）重大失（shī）误或灾难事故的影（yǐng）响； 

· 符合（hé）：符合法律法规要求，避免刑（xíng）法、民法、有关法令（lìng）法规（guī）或合同约定事宜及其他安全要求的（de）规定相抵触；加（jiā）强安全方针和（hé）技术符合性评审，确保体系按照组织的安全（quán）方针及标准执行；系（xì）统审核考虑因（yīn）素，使效果较大化 , 并使系（xì）统审核过程的影响较（jiào）小（xiǎo）化（huà）。 　 

在国际标（biāo）准（zhǔn） ISO/IEC17799 给出了（le）为实现（xiàn）信息安全认证所需的各项措施的详（xiáng）细指导，具（jù）有很（hěn）强的可操（cāo）作性（xìng）和（hé）指导性。

归根（gēn）结底（dǐ），信（xìn）息安全工作的目的就（jiù）是在法律、法规、政策的支持与指导（dǎo）下，通（tōng）过（guò）采用合（hé）适的安全（quán）技术与安全管理（lǐ）措施，提供（gòng）安全需求的保证，而 BS7799 信息安全认证标准正是总和（hé）了（le）这些要求。组织可以根据自身特（tè）点，在 ISO/IEC 17799 指导下，实现信（xìn）息（xī）安全的（de）要求。

 ISO27001：2005 《信息安全管理体系（xì）要求（qiú）》

 ISO27001 ： 2005 《信（xìn）息安全管理体系要（yào）求》是关于信息（xī）安全管理的标准，是标准不是方法（fǎ），达到这（zhè）些标准的要求并（bìng）不难（nán），重要的是用什么方法去实现。企（qǐ）业应将实施标准作为改善内部管理的一次机会（huì），不应该（gāi）将标准做为一种简单的模式对现有流程运作进（jìn）行套用，应（yīng）对现（xiàn）有的组织运作（zuò）流程进行详细分析，有针对性地设（shè）计（jì）并改善现有管理体（tǐ）系、改善薄（báo）弱环节、改善运（yùn）作流（liú）程及内部（bù）沟通，并有效地（dì）将（jiāng）先进的管理思想（xiǎng）融合到（dào）具（jù）体的实施程序中（zhōng），才能发挥标准的真（zhēn）正作用。

获得认证证书不是较终（zhōng）目的（de），建立有（yǒu）责（zé）、有序、有效（xiào）的信息安全管理体系，提（tí）高（gāo）员工的信息安全意（yì）识，不断获（huò）取并运用先进的管理方法和技术手（shǒu）段（duàn）才能使企业（yè）的信（xìn）息安全管（guǎn）理水平得以持续的发展和提（tí）升（shēng）。