信息安全 (Information security): 是（shì）指信息的保密（mì）性（xìng） (Confidentiality) 、完整性 (Integrity) 和可用性（xìng） (Availability) 的（de）保持。

•  保密性：为（wéi）保障信息仅仅（jǐn）为那些被授权使用的人获（huò）取。

 信息的保密性（xìng）是针（zhēn）对（duì）信（xìn）息被（bèi）允许访问（wèn）（ Access ）对（duì）象的多少而不同，所有人员都可（kě）以访问的信息为（wéi）公开信息，需（xū）要限（xiàn）制访问的信（xìn）息一般为敏（mǐn）感信息或秘（mì）密，秘密可以根据信息的重（chóng）要性及保密要求分为不同的密（mì）级，例如国家根据秘密泄露对国家经济、安全利益产生的影响（后果）不同，将国家秘密（mì）分为（wéi）秘密、机密和绝密三个等级（jí），组织可根据其信息安全的实际，在符合《国家保（bǎo）密法》的前提下将（jiāng）其信息（xī）划分为不同的（de）密级；对于具体（tǐ）的信息（xī）的保密性有时效性，如秘密到期解密等。

 •  完整性：为保护信息及其处理方法的准确性和（hé）完（wán）整性。

信息完整性一方（fāng）面是（shì）指信息在利用（yòng）、传输、贮存等（děng）过程中不被（bèi）篡改（gǎi）、丢失、缺损等，另一方面是指信息处（chù）理的（de）方法的（de）正确性。不正（zhèng）当的操作（zuò），如误（wù）删除文件，有可能造（zào）成重要（yào）文件的丢失。

 •  可（kě）用性：为（wéi）保障授权使（shǐ）用人在需（xū）要时可以（yǐ）获（huò）取信息和（hé）使用相（xiàng）关的资产（chǎn）。

信息的可（kě）用性是指信息（xī）及相关的信息（xī）资产在授权（quán）人（rén）需要的（de）时候，可以立即获得。例如通信线路中断故障会造成信息的在一段时间（jiān）内不可用（yòng），影响正常的（de）商业运作（zuò），这是（shì）信（xìn）息可用性的破坏。不同类型的信息及相应资产的信息安（ān）全在（zài）保（bǎo）密性、完整性及可用性（xìng）方面关（guān）注点不同，如组织的专有技（jì）术、市场营销计划等商业秘密对组（zǔ）织来讲保守机（jī）密尤（yóu）其重要；而对于工（gōng）业自（zì）动控制系统，控制（zhì）信息（xī）的完整性相对（duì）其保密性重要得多。

为（wéi）什么需要（yào）信息安（ān）全？

信（xìn）息、信（xìn）息处理过程及对信息起支持作用的信息系统和信息网络都是（shì）重要的商务资（zī）产。信息的保（bǎo）密性、完（wán）整性和可用性对保持（chí）竞争优势（shì）、资金流（liú）动、效益、法律符合（hé）性和商业形象都是至关（guān）重要（yào）的。然（rán）而（ér），越（yuè）来越（yuè）多的组织及其（qí）信息系统和网络面临着包括计（jì）算机诈骗（piàn）、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机（jī）入（rù）侵、 Dos 攻击等（děng）手段（duàn）造成的信息灾难已变得更加普遍 , 有（yǒu）计划而不（bú）易被察觉。组织对信（xìn）息系统（tǒng）和信（xìn）息（xī）服务的依赖意味着更易受（shòu）到安全威（wēi）胁的破坏，公共和私人网络的互连及信（xìn）息资源的共享增大了实现访问控制的难度（dù）。许多信（xìn）息系统本身就不（bú）是按（àn）照安全系（xì）统的（de）要求（qiú）来设计的（de），所以仅依靠技术手段来实现信息安全（quán）有其局（jú）限性，所以信息（xī）安全的实现须得到管理和程序控制（zhì）的适当支持。确（què）定应（yīng）采（cǎi）取哪些控制方式则需要周密计划，并注意细节（jiē）。信（xìn）息（xī）安全管理至少需要组织中的（de）所有雇员的参与，此（cǐ）外还需要供应商、顾客或股东（dōng）的参与（yǔ）和信息安全的（de）专家建议。在信息系统设计阶段就将安全要求和控（kòng）制一体化考（kǎo）虑（lǜ），则成本（běn）会更（gèng）低、效（xiào）率会更高。

 BS7799的信（xìn）息管理过程（chéng）：

①确（què）定信（xìn）息安全管（guǎn）理方针。

②确定 ISMS( 信息安全管理体（tǐ）系) 的范（fàn）围

③进行风险（xiǎn）分析。

④选（xuǎn）择控制（zhì）目标并（bìng）进行控制。

⑤建立（lì）业务持（chí）续计划。

⑥建立（lì）并实施安全管理体系。

 建立信（xìn）息安（ān）全管理（lǐ）体系（xì）的作用（yòng）：

 任何（hé）组织，不论它在信息技术方面如何努力以及采纳如何新的信息（xī）安全技术，实际上在信（xìn）息安全管理方面都还（hái）存在（zài）漏洞，例（lì）如：

· 缺少信息安全管理（lǐ）论坛，安（ān）全导向不明确，管理支持不（bú）明显； 

· 缺少跨部门的信息安全协（xié）调机（jī）制； 

· 保护（hù）特定资产以（yǐ）及完（wán）成特定安全（quán）过程的职责（zé）还不明确； 

· 雇员（yuán）信息安全意识薄弱，缺（quē）少防范意识，外来人员很（hěn）容易直（zhí）接（jiē）进入生产和工（gōng）作场所； 

· 组织信息（xī）系统管理制度不（bú）够健全； 

· 组织信息系统主机房安全存在隐（yǐn）患，如：防火设施存在（zài）问（wèn）题（tí），与危险品仓库同处一幢办公楼等； 

· 组织信息系统备份设备仍有欠缺； 

· 组织（zhī）信息系统安全（quán）防范技（jì）术投入欠缺； 

· 软（ruǎn）件知（zhī）识产（chǎn）权保护（hù）欠缺； 

· 计（jì）算机房（fáng）、办公场所（suǒ）等物理防（fáng）范（fàn）措施欠缺； 

· 档案、记录等（děng）缺少可（kě）靠贮（zhù）存场（chǎng）所； 

· 缺少一旦发生意外时的保证生产（chǎn）经营连续性的措施和（hé）计划（huá）； 

        ……等（děng）等。

为什么要（yào）建立和实施ISO27001信息（xī）安全管理（lǐ）体系认证（2）

其实，组织可以（yǐ）参照信息安全管理（lǐ）模型（xíng），按照（zhào）先进（jìn）的信息（xī）安全管理标准 BS7799 标准建立组（zǔ）织（zhī）完整的信息安全（quán）管理体系并实（shí）施（shī）与（yǔ）保持，达到动态的、系统的、全员参与、制度化的、以预防为（wéi）主（zhǔ）的信息安（ān）全管理方式，用较低的成本，达（dá）到可接受的信息安（ān）全水平，就可以（yǐ）从根本上保证业务的连续性。组织建（jiàn）立、实施（shī）与保（bǎo）持信息安全（quán）管理体系将会产生如下作用：

· 强化员工的（de）信息（xī）安全意识，规范组织（zhī）信息（xī）安全行为； 

· 对（duì）组织（zhī）的关键信息资产进行全面系统的保护，维持竞争（zhēng）优势（shì）； 

· 在信息系统受到侵袭（xí）时，确保业务持（chí）续开（kāi）展并将损失降到较低程度； 

· 使组织的生（shēng）意（yì）伙伴和客户（hù）对（duì）组织充（chōng）满（mǎn）信（xìn）心； 

· 如（rú）果通（tōng）过体（tǐ）系认证，表明（míng）体系符合（hé）标准，证（zhèng）明组（zǔ）织有能力保障（zhàng）重要信（xìn）息，提高（gāo）组织的名（míng）度与信任度； 

· 促使管（guǎn）理（lǐ）层坚持贯彻信息安全（quán）保障（zhàng）体系。 

BS7799标准概（gài）述：

· 1995 年，英国贸工（gōng）部根据英国国内（nèi）企业对信息（xī）安全日益高（gāo）涨的呼声，组织大企（qǐ）业（yè）的（de）信（xìn）息安全经理们，制定了世界（jiè）上第（dì）一个信息安（ān）全（quán）管（guǎn）理体（tǐ）系标准（zhǔn） BS7799-1 ： 1995 《信息安全管（guǎn）理实施规则》，作为工商业和大、中、小型组织实（shí）施信息安全管理的指南（nán）。由于（yú）该标（biāo）准采用建议和（hé）指导（dǎo）方（fāng）式（shì）编写，因而不宜（yí）作为认（rèn）证标准使用。 

· 1998 年，为了适应第三方认（rèn）证的需要，英国又制定了第一个（gè）信息安全管（guǎn）理（lǐ）体系（xì）认证标准（zhǔn） --BS7799-2 ： 1998 《信息安全管（guǎn）理体（tǐ）系规范》，作为（wéi）对一个组织的（de）全部或（huò）部分信息安全（quán）管理体系进行（háng）评审认证的依据标准。 

· 1999 年，鉴于计算（suàn）机和信息处（chù）理（lǐ）技术，尤其是网络和通信领域应用（yòng）的迅速发展，英国又对（duì）信息（xī）安全（quán）管理体系（xì）标准进行了修（xiū）订（dìng）。修订后的 BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和 BS7799-2 ： 1998 。新修订的 1999 版标准（zhǔn）进（jìn）一步强调了组织在商务（wù）工作中所涉及的信（xìn）息安全和信息（xī）安全责任（rèn）。 BS7799-1 ： 1999 和（hé） BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何（hé）建立和实施符（fú）合 BS7799-2 ： 1999 标准要求的信（xìn）息安全管理体系提供了较佳的应用建议。 

· 2000 年 12 月， BS7799-1 ： 1999 已经被（bèi） ISO/IEC 正（zhèng）式采纳成为国际标准 -- ISO/IEC 17799 ： 2000 《信（xìn）息技术—信息安全管理实（shí）施规（guī）则》，另外， BS7799-2 ： 1999 也即（jí）将于 2002 年底被 ISO/IEC 作为（wéi）蓝本修订后成为可用于认证（zhèng）的（de） ISO/IEC 的《信息（xī）安全（quán）管（guǎn）理体系规范》。 

信息安全认证（zhèng）是实现信息安全目标的较佳途径：

BS7799-2：2002信息（xī）安全管理体系规范向组织提出（chū）了一系列认证的要（yào）求，在总则中提出组织应建立并保持一个（gè）文件（jiàn）化的信息（xī）安（ān）全管理体（tǐ）系，阐述（shù）被保（bǎo）护的资产、组织风险管理（lǐ）的渠道、控制目标及控（kòng）制方式和需要的保（bǎo）证（zhèng）等（děng）级；通过建（jiàn）立管理架构并加以实（shí）施来达到识别控制目标和控（kòng）制（zhì）方式，并形成（chéng）文件和记录（lù）。

BS7799-2：2002的（de）控制细则包括10个方面： 　

· 安（ān）全方针：为（wéi）信息安全提供管理指导和支持； 

· 组织安全：建立信息安全（quán）架构，保证组织的内部管理；被第三方访问或外（wài）协时，保障组织的（de）信息安全； 

· 资产的归类与（yǔ）控制：明确资产责任，保持对组织（zhī）资产的适（shì）当保护；将信（xìn）息进行（háng）归类，确保信息资产受到适当（dāng）程度的保护； 

· 人员安全：在工作说（shuō）明（míng）和资源方面（miàn），减少（shǎo）因人为错误、盗窃、欺诈和设施误用造成（chéng）的（de）风险；加强用户培训，确（què）保（bǎo）用户清（qīng）楚知道信息安全的（de）危险性（xìng）和相关事项，以便在他们的日常工作中支（zhī）持组织的安全方针；制定安全事故或故（gù）障的反应程序，减少由安（ān）全事故和故（gù）障造成的损失，监控安全事件并从这种事件中吸取教训（xùn）； 

· 实物与环境安全：确（què）定安（ān）全区域，防止非授权（quán）访问、破坏、干（gàn）扰商（shāng）务场所和信（xìn）息；通过保障设备安全，防止资产（chǎn）的丢（diū）失（shī）、破坏、资产危（wēi）害及商务活动的中断（duàn）；采用通用的控（kòng）制方式，防止信息（xī）或信息处理设施损坏或失窃； 

· 通信和（hé）操作方式管（guǎn）理：明确操作程序及（jí）其责任，确（què）保信息（xī）处理设施的正确、安全操作；加强系（xì）统策（cè）划与验收，减（jiǎn）少（shǎo）系统失效风险（xiǎn）；防范恶意（yì）软件以保持软件和信息的完整性；加强内（nèi）务管（guǎn）理以保持信息处理（lǐ）和（hé）通讯服务的完（wán）整性和有效性通过 ; 加强网络管理确保网络中的信息安全及其辅助设施（shī）受到保护（hù）；通（tōng）过（guò）保护媒（méi）体处理的安（ān）全 , 防止资产损坏和商务活动的中断（duàn）；加强信息（xī）和（hé）软件的交换的管理，防（fáng）止（zhǐ）组织间在交换信息时发生丢失、更改和误用； 

· 访问（wèn）控制：按照访问控制的商务要求，控制信（xìn）息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权（quán）的（de）用户访问；加强网络访问（wèn）控制（zhì），保护网（wǎng）络服务程（chéng）序；加强操作系统访问控制 , 防止非授权的计算机访问；加强应（yīng）用访问控制（zhì），防止非授权访（fǎng）问系（xì）统中的信息；通（tōng）过监控系统的访（fǎng）问（wèn）与使用，监（jiān）测（cè）非（fēi）授权行为（wéi）；在移动式计算和电传（chuán）工作方面 , 确保使用移（yí）动式计算和（hé）电传工作设施的信（xìn）息安（ān）全； 

· 系（xì）统开发与维护：明（míng）确系统（tǒng）安（ān）全要求（qiú），确保安全（quán）性已（yǐ）构成信息系统的一部份；加强应用系统（tǒng）的安全，防止应用（yòng）系统用户数据的丢失（shī）、被修（xiū）改或（huò）误（wù）用；加强密码技术控制（zhì），保护（hù）信息的保密（mì）性、可靠（kào）性或完整性；加强系统文（wén）件的安全，确保 IT 方案及其支持活动以安全（quán）的方式进行；加强开发和支（zhī）持（chí）过程的安全，确保应用系（xì）统软件和信（xìn）息的安全； 

· 商（shāng）务（wù）连续性管理：防（fáng）止商（shāng）务活动的中（zhōng）断（duàn）及保护关键商务过程不（bú）受重大失（shī）误或灾难事（shì）故的影响； 

· 符合（hé）：符合（hé）法律法（fǎ）规要求，避免刑（xíng）法、民（mín）法（fǎ）、有关法令（lìng）法（fǎ）规或（huò）合同约定事宜及（jí）其他安（ān）全要求的规定相抵（dǐ）触（chù）；加强安全（quán）方针和技术符合性（xìng）评审，确保（bǎo）体（tǐ）系按照组织的安全方针及标（biāo）准执行；系（xì）统审核考虑（lǜ）因素，使效果较大化 , 并使系统审核过程的影响较（jiào）小（xiǎo）化。 　 

在国际标准 ISO/IEC17799 给（gěi）出（chū）了（le）为实现信息安全认证所（suǒ）需的各项措施（shī）的详细指（zhǐ）导，具有很强的可（kě）操（cāo）作性（xìng）和（hé）指导性。

归根结底，信息（xī）安全工作（zuò）的目的就是（shì）在法律、法规、政策的支持与指导下，通过采用合适的安全（quán）技术与安全管理措施，提供安全需求的保证，而（ér） BS7799 信息安全认证标准正是总（zǒng）和了这些（xiē）要求。组织可以根据自身特点，在 ISO/IEC 17799 指导（dǎo）下，实现（xiàn）信息安全的要（yào）求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理体（tǐ）系（xì）要求》是关于信息安全管理的（de）标准，是标准不是方法，达到这些（xiē）标准的（de）要求并不（bú）难，重要的是用什么方法去实现。企业应将（jiāng）实施标准作为（wéi）改（gǎi）善内部管理的一次机会，不应该将标（biāo）准做为一种简单的模式（shì）对现有流程运作进行（háng）套（tào）用，应对现有（yǒu）的组织运作流程进行详（xiáng）细分析，有针（zhēn）对性地设计并（bìng）改善现有管理体系、改善薄（báo）弱环节（jiē）、改善运作（zuò）流程及内部（bù）沟通（tōng），并有（yǒu）效地将先进的管理思想融合到具体的实施程序中，才（cái）能发（fā）挥标准的（de）真（zhēn）正作用。

获得认证证书（shū）不是较终目的，建立有责、有（yǒu）序（xù）、有效的（de）信息（xī）安全管理体系，提高员工的信（xìn）息安全意识，不断获取并运（yùn）用（yòng）先（xiān）进的管理方法和（hé）技术手段才能使（shǐ）企业的信息安全管理水平得以持续的发展和提升。