信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。

　　• 保密性：為保障信息僅僅為那些被授權使用的人獲取。

　　信息的保密性是針對信息被允許訪問（ Access ）對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據信息的重要性及保密要求分為不同的密級，例如國家根據秘密泄露對國家經濟、安全利益產生的影響（后果）不同，將國家秘密分為秘密、機密和絕密三個等級，組織可根據其信息安全的實際，在符合《國家保密法》的前提下將其信息劃分為不同的密級；對于具體的信息的保密性有時效性，如秘密到期解密等。

　　• 完整性：為保護信息及其處理方法的準確性和完整性。

　　信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等，另一方面是指信息處理的方法的正確性。不正當的操作，如誤刪除文件，有可能造成重要文件的丟失。

　　• 可用性：為保障授權使用人在需要時可以獲取信息和使用相關的資產。

　　信息的可用性是指信息及相關的信息資產在授權人需要的時候，可以立即獲得。例如通信線路中斷故障會造成信息的在一段時間內不可用，影響正常的商業運作，這是信息可用性的破壞。不同類型的信息及相應資產的信息安全在保密性、完整性及可用性方面關注點不同，如組織的專有技術、市場營銷計劃等商業秘密對組織來講保守機密尤其重要；而對于工業自動控制系統，控制信息的完整性相對其保密性重要得多。

　　為什么需要信息安全？

　　信息、信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。然而，越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅，諸如計算機病毒、計算機入侵、 Dos 攻擊等手段造成的信息災難已變得更加普遍 , 有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞，公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度。許多信息系統本身就不是按照安全系統的要求來設計的，所以僅依靠技術手段來實現信息安全有其局限性，所以信息安全的實現必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃，并注意細節。信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應商、顧客或股東的參與和信息安全的專家建議。在信息系統設計階段就將安全要求和控制一體化考慮，則成本會更低、效率會更高。

　　BS7799的信息管理過程：

　　①確定信息安全管理方針。

　　②確定 ISMS( 信息安全管理體系) 的范圍

　　③進行風險分析。

　　④選擇控制目標并進行控制。

　　⑤建立業務持續計劃。

　　⑥建立并實施安全管理體系。

　　建立信息安全管理體系的作用：

　　任何組織，不論它在信息技術方面如何努力以及采納如何新的信息安全技術，實際上在信息安全管理方面都還存在漏洞，例如：

　　缺少信息安全管理論壇，安全導向不明確，管理支持不明顯；

　　缺少跨部門的信息安全協調機制；

　　保護特定資產以及完成特定安全過程的職責還不明確；

　　雇員信息安全意識薄弱，缺少防范意識，外來人員很容易直接進入生產和工作場所；

　　組織信息系統管理制度不夠健全；

　　組織信息系統主機房安全存在隱患，如：防火設施存在問題，與危險品倉庫同處一幢辦公樓等；

　　組織信息系統備份設備仍有欠缺；

　　組織信息系統安全防范技術投入欠缺；

　　軟件知識產權保護欠缺；

　　計算機房、辦公場所等物理防范措施欠缺；

　　檔案、記錄等缺少可靠貯存場所；

　　缺少一旦發生意外時的保證生產經營連續性的措施和計劃；

　　……等等。

　　其實，組織可以參照信息安全管理模型，按照先進的信息安全管理標準 BS7799 標準建立組織完整的信息安全管理體系并實施與保持，達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平，就可以從根本上保證業務的連續性。組織建立、實施與保持信息安全管理體系將會產生如下作用：

　　強化員工的信息安全意識，規范組織信息安全行為；

　　對組織的關鍵信息資產進行全面系統的保護，維持競爭優勢；

　　在信息系統受到侵襲時，確保業務持續開展并將損失降到最低程度；

　　使組織的生意伙伴和客戶對組織充滿信心；

　　如果通過體系認證，表明體系符合標準，證明組織有能力保障重要信息，提高組織的知名度與信任度；

　　促使管理層堅持貫徹信息安全保障體系。

信息安全管理體系認證介紹

1. 背景介紹
　　信息作為組織的重要資產，需要得到妥善保護。但隨著信息技術的高速發展，特別是Internet的問世及網上交易的啟用，許多信息安全的問題也紛紛出現：系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司內部資料的泄露等等。這些已給組織的經營管理、生存甚至國家安全都帶來嚴重的影響。 安全問題所帶來的損失遠大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失： 
——直接損失：丟失訂單，減少直接收入，損失生產率； 
——間接損失：恢復成本，競爭力受損，品牌、聲譽受損，負面的公眾影響，失去未來的業務機會，影響股票市值或政治聲譽； 
——法律損失：法律、法規的制裁，帶來相關聯的訴訟或追索等。
　　所以，在享用現代信息系統帶來的快捷、方便的同時，如何充分防范信息的損壞和泄露，已成為當前企業迫切需要解決的問題。
　　俗話說“三分技術七分管理”。目前組織普遍采用現代通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的最高管理層對信息資產所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應的管理措施不到位，如系統的運行、維護、開發等崗位不清，職責不分，存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏系統的管理思想也是一個重要的問題。所以，我們需要一個系統的、整體規劃的信息安全管理體系，從預防控制的角度出發，保障組織的信息系統與業務之安全與正常運作。
　　目前，在信息安全管理體系方面，英國標準BS7799已經成為世界上應用最廣泛與典型的信息安全管理標準。BS7799標準于1993年由英國貿易工業部立項，于1995年英國首次出版BS 7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的參考基準，并且適用于大、中、小組織。1998年英國公布標準的第二部分BS 7799-2《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。BS7799-1與BS7799-2經過修訂于 1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。 2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準----- ISO/IEC17799-1：2000《信息技術-信息安全管理實施細則》。2002年9月5日，BS7799-2:2002草案經過廣泛的討論之后， 終于發布成為正式標準，同時BS7799-2:1999被廢止。BS7799標準得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。2005年11月,ISO27001:2005出版，取代了之前的BS 7799-2:2002，今后，7799系列標準的編號將會發生一定的改變，更改為ISO27001系列。在某些行業如IC和軟件外包，信息安全管理體系認證已成為一些客戶的要求條件之一。
2. 標準特點
——注重體系的完整性，是一套科學的信息安全管理體系
—— 以風險評估為基礎
——強調對法律法規的符合性
—— 廣泛適用于各類組織
——與ISO9000標準有很強的兼容性
3. 認證好處
獲得ISMS認證您將獲得以下好處：
—— 保護企業的知識產權、商標、競爭優勢
——維護企業的聲譽、品牌和客戶信任
——減少可能潛在的風險隱患，減少信息系統故障、人員流失帶來的經濟損失
—— 強化員工的信息安全意識，規范組織信息安全行為
——在信息系統受到侵襲時，確保業務持續開展并將損失降到最低程度 
4. 適用范圍
　　BS7799-2 從1998年頒布后，在全世界范圍內得到廣泛的認可。目前已有40多個國家和地區開展信息安全管理體系的認證。根據ISO/IEC 17799（BS 7799）國際使用者協會的最新統計，到2005年4月，全球通過信息安全管理體系BS 7799-2認證的組織已經超過1200家。
　　信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。
5. 認證基本流程
——組織應建立符合BS7799-2標準要求的文件化信息安全管理體系，在申請認證之前應完成內部審核和管理評審，并保證體系的有效、充分運行三個月以上；
——組織應向認證機構提供信息安全管理體系運行的充分信息，對于多現場應說明各現場的認證范圍、地址及人員分布等情況，認證機構將以抽樣的方式對多現場進行審核；
—— 組織如要求，可向認證機構提出預審核的申請；
——認證分兩個階段進行：第一階段文件審核，文件審核可在組織現場或非現場進行；第二階段現場審核；
——獲得認證后每年進行一次監督；
——當組織的信息安全管理體系出現變化，或出現影響信息安全管理體系符合性的重大變動時，應及時通知認證機構；認證機構將視情況進行監督審核、換證審核或復審以保持證書的有效性；
6. 實施ISMS基本步驟
（1）系統規劃
　　 系統規劃主要是明訂信息安全管理的目標、范圍和政策，并收集目前和公司信息安全相關的數據、文件。系統規劃階段應該由一個跨部門的「信息安全委員會」來負責，并且擁有最高管理階層的支持。
（2）風險評估
　　 ISMS的目標是透過系統的安全風險評估確定安全需求，并對實施控制措施的支出與安全事故可能造成的商業損失進行權衡考慮；透過風險評估可以了解風險的權重和等級，以供建立安全控制機制的參考。風險評估的過程包括：
　＊資產清查、分類與評價
　＊威脅與脆弱性分析
　＊對業務需求、法規需求的評估
　＊評估風險等級
　＊評估可接受之風險等級
　＊建議安全控制措施
　風險評估的總結報告應該呈現給「信息安全委員會」來評估處理風險的策略(移轉、避免、降低或接受)，以及決定開始用的工具和辦法。
（3）風險管理
　 公司必須就企業需求和法令規章決定可接受風險之臨界等級，并應該依照所決定的風險管理策略規劃和建立控制機制。控制方法可參考BS 7799 - 2 的建議。風險管理的重點在于建立一套循環不斷的Plan-Do-Check-Action 機制，藉由不斷的審核、重新規劃，加強讓公司內的安全等級不斷提升。
（4）系統頒行和推廣
　　 ISMS 是一套不限于IT技術的管理系統，它就像是ISO9001一樣需要全公司員工身體力行方能奏效。在實施的過程中，需要經營管理階層的認知與全力支持，以及 全體員工的共識和配合。教育訓練和不斷的實施活動是必要的，尤其需要定期審核和檢查，以確保系統可以持續不斷的執行。

ISO 27001：2005標準

信息安全風險評估常用方法

定性的風險評估提供對“資產——威脅——脆弱點”三位一體的系統的檢測。它同時衡量控制措施在維護信息安全過程中的作用，以及提供信息安全與控制措施的最佳性價比。風險評估的過程帶有主觀因素，因此這種主觀的分析依靠企業內部專家的經驗，因此在風險評估過程中風險評估小組成員的構成對評估結果起到重要的作用。

風險分析經過對資產、威脅和脆弱點系統化的評審，發現威脅發生的可能性、威脅發生后可能造成的損失，以及采取控制措施減小威脅和脆弱點到一個可接受程度所需要的投入。

我們針對信息安全風險評估常用的方法有：

一、結構化得風險分析方法

1、 基于威脅樹的風險評估方法

2、 基于表格的風險評估方法

3、 基于威脅矩陳的風險分析法

二、非結構化風險分析法

1、 從員工職務角度進行風險分析

2、 威脅分析

3、 調查問卷法