信息（xī）安（ān）全（quán） (Information security): 是（shì）指信息（xī）的（de）保密性 (Confidentiality) 、完整性 (Integrity) 和可用（yòng）性 (Availability) 的保（bǎo）持。

•  保密性：为保障信息仅仅为那些被授权使用（yòng）的人获取。

 信息的保密（mì）性是针对（duì）信息被允许（xǔ）访问（wèn）（ Access ）对象的多少而不同（tóng），所（suǒ）有人员都可以（yǐ）访问（wèn）的信息为公（gōng）开信息，需要限（xiàn）制访（fǎng）问（wèn）的信息（xī）一般为敏（mǐn）感信息或秘（mì）密，秘密可以根据信息的重要性及保密要求（qiú）分为不（bú）同的密级，例如国家根据（jù）秘（mì）密泄露对（duì）国家经济、安全利益（yì）产生（shēng）的影响（后果）不同，将国（guó）家秘密分为秘密、机密和（hé）绝（jué）密（mì）三个等级，组织可根据其信息安全的实际（jì），在符合《国（guó）家保密法》的前提下将（jiāng）其信息划分（fèn）为不（bú）同的密级；对（duì）于（yú）具（jù）体的信息的保密性有时效性，如秘密到（dào）期解（jiě）密等。

 •  完（wán）整性：为保护信息及其处理方法的准确（què）性和完整性。

信息完整性一方面是指信（xìn）息在利用、传（chuán）输、贮存等过程中不被篡改、丢失、缺（quē）损等（děng），另一方面是指信息处理的方（fāng）法（fǎ）的（de）正确性。不正当的操作（zuò），如误删除文件，有可能造成（chéng）重要文件的丢失。

 •  可用性（xìng）：为保（bǎo）障授（shòu）权使用人在需（xū）要时可以获取信息和使用（yòng）相关的资产。

信息的可（kě）用性是指（zhǐ）信息及相关的信息资产在授（shòu）权人需（xū）要的时候，可以立即获得。例如通信线路中（zhōng）断故障会造成信（xìn）息的在一段时间内（nèi）不可用（yòng），影（yǐng）响正（zhèng）常的商业运作，这是信息可用性的（de）破（pò）坏。不同类（lèi）型的信息及（jí）相应资产（chǎn）的信息安全（quán）在（zài）保（bǎo）密性、完整性及可用（yòng）性（xìng）方面（miàn）关注点不同，如组织的专（zhuān）有（yǒu）技（jì）术（shù）、市场营销计划等商业秘密对（duì）组织来（lái）讲保（bǎo）守机密尤（yóu）其重（chóng）要；而对于工业自动（dòng）控制系统，控制信息的完整性相对其保密性重要（yào）得多。

为什么需要信息安（ān）全？

信息、信息处理过程及对信息（xī）起支（zhī）持作用的（de）信息系统和信息网络都是重要的商务（wù）资产。信息（xī）的保密性、完整性和可用性对保持（chí）竞争优（yōu）势、资金流动、效益、法律符合性和商业形象都（dōu）是至关重要的。然而，越来（lái）越多的（de）组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大（dà）范围的安全威胁，诸（zhū）如计算机病毒、计（jì）算机入侵、 Dos 攻击等手段造成的信息灾难已变得（dé）更加（jiā）普遍（biàn） , 有计划而不易被察觉。组（zǔ）织对信息系统（tǒng）和信（xìn）息服务的依（yī）赖（lài）意味着更易（yì）受到安全威胁的（de）破坏，公共和私人网（wǎng）络的互连及信息资源的共享增大了实现访（fǎng）问控制的难度。许多信息系（xì）统本身就不是按（àn）照安全系统的要求来设计（jì）的，所以（yǐ）仅依靠技（jì）术手段来实现（xiàn）信息（xī）安全有（yǒu）其局限性，所以（yǐ）信息安全的实现须得到管理（lǐ）和程序控制的适当（dāng）支持。确定应采取哪些控制方式（shì）则需要（yào）周（zhōu）密计划，并注意（yì）细节。信息安全管理至少需要组织中的所有雇员（yuán）的参与，此外还需要供（gòng）应商、顾客或（huò）股东的参与和信息（xī）安全（quán）的专家建（jiàn）议。在信息系统设计（jì）阶段就将安全（quán）要求和控制一体化考虑，则（zé）成本会更（gèng）低、效率会更高。

 BS7799的信息管（guǎn）理过程：

①确定信息安全管理方针。

②确定（dìng） ISMS( 信息（xī）安全管（guǎn）理体系) 的范围

③进行风险分析。

④选择控制目标（biāo）并进行控制（zhì）。

⑤建立业务持（chí）续计划。

⑥建立并（bìng）实施安全管理体（tǐ）系。

 建立（lì）信息安全管理体系（xì）的作用：

 任何组织，不论它在信息技术方（fāng）面（miàn）如何努力以及采纳如何（hé）新的信息安全（quán）技术（shù），实际上在信息（xī）安（ān）全管理方面都还存在漏洞（dòng），例如：

· 缺少信（xìn）息安全管理论坛，安全导向不明确，管（guǎn）理支持不明显； 

· 缺少跨部门的信息安全协调（diào）机制； 

· 保护特定（dìng）资（zī）产以（yǐ）及完成特（tè）定安全过程的职责（zé）还不明确； 

· 雇（gù）员信（xìn）息安（ān）全意（yì）识薄弱，缺少防范意识，外来人员很（hěn）容易直（zhí）接进（jìn）入生产和工作场所； 

· 组织信息系统管理制（zhì）度不够健全； 

· 组织信息（xī）系统主（zhǔ）机房安全（quán）存在隐患，如（rú）：防火（huǒ）设施存在问题，与（yǔ）危险品（pǐn）仓库同处一幢办公楼等； 

· 组织信息（xī）系统备（bèi）份设备仍有欠缺； 

· 组织信息系统安全防范技术（shù）投入（rù）欠缺（quē）； 

· 软件知识产权保护（hù）欠缺； 

· 计算机房、办公场所等物理（lǐ）防范措施欠缺； 

· 档案（àn）、记录等缺少可靠贮存（cún）场所； 

· 缺（quē）少（shǎo）一旦发生意外时的（de）保（bǎo）证（zhèng）生产经营连（lián）续性的措施和（hé）计划； 

        ……等等。

为什么要建立和实施ISO27001信息（xī）安全管理体系认证（zhèng）（2）

其（qí）实，组织（zhī）可（kě）以参照信（xìn）息安全管理模型（xíng），按照先进的信息（xī）安全管（guǎn）理标准 BS7799 标准建立组织（zhī）完（wán）整的信息安（ān）全管（guǎn）理体（tǐ）系并实施与保持，达到动态的、系统的、全（quán）员参与、制度（dù）化的、以预防为主的信息安（ān）全（quán）管理方式，用较低的成本，达到可接受的信息安全水平，就可以从根本上保证（zhèng）业（yè）务的（de）连续（xù）性（xìng）。组织建（jiàn）立、实施与保持信息安全管理体系将会产（chǎn）生如（rú）下作用：

· 强化员工的（de）信息（xī）安（ān）全意（yì）识，规（guī）范组织（zhī）信息安全行为； 

· 对组织的关（guān）键信（xìn）息资产进行全面系统的（de）保（bǎo）护，维持竞争优（yōu）势； 

· 在信息系统受（shòu）到侵袭时，确保业务持续开展并将损失降到较（jiào）低程度； 

· 使组织（zhī）的生意（yì）伙（huǒ）伴和客户（hù）对（duì）组织（zhī）充（chōng）满信心； 

· 如果通过（guò）体系认证，表明体（tǐ）系符（fú）合标准，证明组织有能力保障（zhàng）重要信息，提高组织（zhī）的名度（dù）与信任度； 

· 促使管理（lǐ）层坚持贯彻信息安（ān）全（quán）保障体系。 

BS7799标准概（gài）述（shù）：

· 1995 年，英国贸工部根（gēn）据英国国内企业对信息安全日（rì）益高涨的呼声，组织大企业的（de）信息安全经理们，制定（dìng）了世界上第（dì）一个信息（xī）安（ān）全管理体系标准 BS7799-1 ： 1995 《信息安全管理实（shí）施规则》，作为（wéi）工商业和（hé）大、中、小型组（zǔ）织实（shí）施信息安全管理的（de）指南。由（yóu）于（yú）该标准采用建议和指导方式编写，因而（ér）不宜作为认证标准使用（yòng）。 

· 1998 年，为（wéi）了适应第三方认证的需（xū）要，英国又制定了第一个信息安全管理（lǐ）体系（xì）认证标准 --BS7799-2 ： 1998 《信息安全（quán）管理体系规范》，作（zuò）为对一（yī）个组织的全部或部（bù）分信息安全管理体系（xì）进行（háng）评（píng）审认证（zhèng）的依据标准（zhǔn）。 

· 1999 年，鉴于计（jì）算机（jī）和信息处理技（jì）术，尤其是网络和通（tōng）信领（lǐng）域应用的迅速发展，英国又对信息安（ān）全管理体系标（biāo）准进行了修订。修订后的（de） BS7799-1 ： 1999 和 BS7799-2 ： 1999 分别取代了 BS7799-1 ： 1995 和（hé） BS7799-2 ： 1998 。新修订的 1999 版（bǎn）标准进一（yī）步（bù）强（qiáng）调了组织在商务工作中所涉及的（de）信息安全和信息安（ān）全责任（rèn）。 BS7799-1 ： 1999 和 BS7799-2 ： 1999 是一对配套标准， BS7799-1 ： 1999 为如何建（jiàn）立和实施符合 BS7799-2 ： 1999 标准要求的信息安全（quán）管理体（tǐ）系提供了较佳的应用建议。 

· 2000 年 12 月（yuè）， BS7799-1 ： 1999 已经被 ISO/IEC 正式采纳成为国（guó）际（jì）标准 -- ISO/IEC 17799 ： 2000 《信息技术（shù）—信（xìn）息安（ān）全管理实施规则》，另外， BS7799-2 ： 1999 也即将于（yú） 2002 年底被（bèi） ISO/IEC 作为蓝本修订后成为（wéi）可用于认证的 ISO/IEC 的《信息安全管理体（tǐ）系规范（fàn）》。 

信（xìn）息安（ān）全认（rèn）证（zhèng）是实现（xiàn）信息安全目标的较（jiào）佳（jiā）途（tú）径（jìng）：

BS7799-2：2002信息（xī）安全管理（lǐ）体（tǐ）系规范向组（zǔ）织提出了一系（xì）列认证的要求（qiú），在（zài）总则中提出组织应（yīng）建立并保持一个文件化（huà）的信息安（ān）全管理体系，阐（chǎn）述被保（bǎo）护（hù）的资产、组织风险管理的渠道、控（kòng）制目标（biāo）及控制方（fāng）式和需（xū）要的保证等级（jí）；通过建（jiàn）立管理（lǐ）架（jià）构并加（jiā）以实施来达到识别（bié）控制（zhì）目标和控（kòng）制（zhì）方式（shì），并形成文件和记（jì）录。

BS7799-2：2002的控制细则包（bāo）括10个方面： 　

· 安全方针：为信息安全提供管理指导和支持； 

· 组织安（ān）全：建立信息安全（quán）架（jià）构，保证（zhèng）组（zǔ）织的内部管理；被第三方访问或外协（xié）时，保障组织的（de）信息（xī）安全； 

· 资产的归类与（yǔ）控制：明确资（zī）产责任，保持对组织资产（chǎn）的适（shì）当保（bǎo）护；将信息进行归类，确保（bǎo）信息（xī）资产受到适（shì）当程度的保护； 

· 人员安全：在（zài）工作说明和资源方面（miàn），减少因人为错（cuò）误、盗窃、欺（qī）诈和设施误用（yòng）造成的风险；加强（qiáng）用户（hù）培训（xùn），确保用（yòng）户清楚知（zhī）道信息安全的危险性（xìng）和相关事项，以便在他们的日常工作中支持组织的安全方针；制定安全事故或故（gù）障的反应程序（xù），减少由安全事故和故障造成（chéng）的损失，监控安全事件并从这种事（shì）件中吸取教训； 

· 实物与（yǔ）环境安全：确定安（ān）全（quán）区域（yù），防（fáng）止非授（shòu）权（quán）访（fǎng）问、破坏、干扰（rǎo）商务场所（suǒ）和（hé）信息；通过保障（zhàng）设备安全，防止资产的丢失（shī）、破坏、资产危害及商务活（huó）动的中断；采用通用的（de）控制（zhì）方式，防（fáng）止（zhǐ）信（xìn）息或信息处理设施（shī）损坏或失窃； 

· 通信和操作方式（shì）管理：明确（què）操作程序及其责任，确保信息处理设（shè）施的正确、安全操作；加强系（xì）统策（cè）划与验收，减少系统失效风险；防范恶意软（ruǎn）件以保持软件和（hé）信息的完整性；加（jiā）强内务管理（lǐ）以保持信息处理和通（tōng）讯服务的完整性和有效（xiào）性通过 ; 加强（qiáng）网（wǎng）络管（guǎn）理确保网络中的信息（xī）安全及其辅助设施受到保护；通过保护媒体处理（lǐ）的安（ān）全 , 防止资产损坏和商务活动的中断（duàn）；加（jiā）强信息和软件的交换的管（guǎn）理，防止组织间在交换信息时发生丢失、更改和误用； 

· 访（fǎng）问控制：按照访问控制的（de）商务要求，控制信（xìn）息访问；加强用户访问管理，防（fáng）止（zhǐ）非授权访问信息系统；明确用户职责（zé），防止非（fēi）授权的用户访（fǎng）问；加（jiā）强网（wǎng）络访问控制，保护网（wǎng）络（luò）服务程（chéng）序；加强（qiáng）操作系（xì）统访（fǎng）问控（kòng）制 , 防止非授权（quán）的（de）计（jì）算（suàn）机访（fǎng）问；加强应用访问控制，防止（zhǐ）非授权访问系统中的信息；通过监控系统的（de）访（fǎng）问与（yǔ）使用，监测（cè）非授（shòu）权行为；在移动式计算和电传（chuán）工作方面 , 确保使用移动式计算和电传（chuán）工作设施的信息安全； 

· 系（xì）统开发与维护（hù）：明（míng）确系统安全要求，确保安全性已构成信息系统的一部（bù）份；加强应（yīng）用系统的安全，防（fáng）止（zhǐ）应用系统用户数据的丢失、被（bèi）修改或误用；加（jiā）强密码技（jì）术控制，保护信息的（de）保密（mì）性、可靠性或完整性；加强系统文件的安全，确保 IT 方案及其支持活动以安全的（de）方式进（jìn）行；加强开（kāi）发和（hé）支持过程的安全，确保应用系统软件和（hé）信息的安（ān）全； 

· 商务连续性管理：防止商务活动的中断及（jí）保护关键商务过程不受重大失误或灾难事故（gù）的影响； 

· 符合：符合法律法规要求（qiú），避免刑（xíng）法（fǎ）、民（mín）法、有关法令法规或（huò）合同约定事宜及其他安（ān）全要求（qiú）的规（guī）定相（xiàng）抵触；加强安全方针和技术符合性（xìng）评审，确（què）保体系按（àn）照组织的安全（quán）方针及标准（zhǔn）执行（háng）；系统审（shěn）核考虑因素（sù），使效（xiào）果较大（dà）化 , 并使系统审核过程的影响较小化（huà）。 　 

在国际标准 ISO/IEC17799 给（gěi）出了（le）为（wéi）实（shí）现信息安（ān）全认（rèn）证所（suǒ）需的各项措施的详细（xì）指（zhǐ）导，具有（yǒu）很强的可操（cāo）作（zuò）性和指导性。

归根（gēn）结（jié）底，信息（xī）安全工（gōng）作的（de）目的就是在法律（lǜ）、法规、政策的支持（chí）与（yǔ）指导下（xià），通过采用合（hé）适的安（ān）全技术与安全管理措（cuò）施，提供安全需（xū）求的保证，而 BS7799 信息安（ān）全认证标准正是总和（hé）了这些要（yào）求。组织可以根据自（zì）身特点，在 ISO/IEC 17799 指导（dǎo）下，实现（xiàn）信息（xī）安全的要求。

 ISO27001：2005 《信息安全（quán）管理体系要（yào）求》

 ISO27001 ： 2005 《信息安全（quán）管理体（tǐ）系（xì）要求》是关于信息（xī）安全管理的标准，是标准不是方法，达到这些标准的（de）要求并不难，重要的是用什么方法去（qù）实现（xiàn）。企业应将实施标准（zhǔn）作为改善内部管理的一次（cì）机会（huì），不应该将标准做为一种（zhǒng）简单的模式对（duì）现有流程运作进行套（tào）用，应对现有（yǒu）的组织（zhī）运（yùn）作流程（chéng）进行详细（xì）分析，有针对性地设（shè）计并改（gǎi）善现有管理（lǐ）体系（xì）、改善薄弱环节（jiē）、改善（shàn）运作流程及内部沟通，并有效地将先进的管理（lǐ）思想融合到具（jù）体的实施程序中，才能发挥标准的真正作用。

获得认（rèn）证（zhèng）证书不是较终目的，建立有责、有（yǒu）序、有效（xiào）的信息安（ān）全管理体系，提高员工（gōng）的信（xìn）息安全意识，不断（duàn）获取并运用先进的管理（lǐ）方法和（hé）技术手段才能使企业的信息安（ān）全管理水平得以持续（xù）的发展和提升。