一、什么是信息安全

    信息象其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要妥善保护。信息安全使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报。
    信息是所有组织的血肉。它可以以多种形式存在，可以是打印出来的或写出来的论文，电子存储信件，通过邮件或使用其他电子手段传递，显示在胶片上或表达在会话中。事实上，所有的组织都有他们各自处理信息的形式。银行、保险和信用卡公司都处理消费者信息，保健提供者需要管理其病人的信息，政府部门存储机密的和分类信息。不仅仅是市场，所有组织需要安全性管理，存储和保护公司以及客户信息。不论信息采用什么方式或采取什么手段共享和存储，它应该总是得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：
直接损失：丢失订单，减少直接收入，损失生产率；
间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；
法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。
　　所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。
　　俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。
　　目前，在信息安全管理体系方面，英国标准BS7799已经成为世界上应用最广泛与典型的信息安全管理标准。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。 2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准----- ISO/IEC17799：2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后， 终于发布成为正式标准，同时BS7799-2:1999被废止。2005年12月，BS7799-2：2002的内容被ISO采纳，正式成为ISO/IEC27001：2005国际标准。现在，BS7799标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。依据ISO/IEC27001：2005建立信息安全管理体系并获得认证正成为世界潮流。在某些行业如IC和软件外包，信息安全管理体系认证已成为一些客户的要求条件之一。

信息安全的维持可表现为：
A 安全性：确保信息仅可让授权获取的人士访问；
B 完整性：保护信息和处理方法的准确和完善；
C 可用性：确保授权人需要时可以获取信息和相应的资产。

    信息安全通过执行一套适当的控制来达到。它可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，以保障组织特定安全目标的实现。


二、为什么需要信息安全

     信息的支持过程，系统和网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

    而如今的组织及其信息系统和网络面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁，而其他类似计算机病毒、盗窃和服务器非法入侵破坏等已变得更加普遍，更加错综复杂。
    据统计表明80-90%公司的计算机犯罪是内部人干的，在金融系统中，自1992年英国商业因信息安全的损失估计达到1.2万亿英镑（参考信息安全技术报告，Vol.3，No.4）。组织依靠信息系统和服务意味着更易受到安全威胁的破坏；公共和私人网络的互连及信息资源的共享增大了控制访问的难度；分布式计算机的趋势减弱了中央、专家控制的有效性……因此保护和防卫信息是很必要的。而由于许多信息系统并非在设计时就考虑了安全，依靠技术手段实现安全很有限，则应该由适当的管理和程序来支持。
    信息安全管理是通过保证维护信息的机密性，完整性和可用性来管理和保护机构部门的所有的信息资产的一项体制。如果按要求的规范在设计阶段实行信息安全管理，还会降低成本，提高效率。


三、信息安全标准建立的目的和适用范围
    BS7799-- 信息安全标准是英国的工业、政府和商业共同需求而发展的一个标准，它确保公司发展，实施和估量有效的安全管理时间并为公司贸易内部提供信心。目前此标准是领导英国和国际商业最好的信息安全惯例并受到国际一致好评。因为标准适用于各种类型的组织，公共的或私人的部门和任何商业环境，它的第一部分包含最好的信息安全管理应用并且是国际适用的。关于BS7799 成为国际（ISO）标准的评审正在进行。
    BS7799的最原始的版本是1995年出版：为了确保它的不过时，所有的标准需要定期地评定。 BS7799：1999是1995版本的一个修订版本和扩展版本：它包含了所有的原始的控制和一套在原有的基础上扩展的新的控制。例如，新版本包括关于电子商务，移动计算机，远程工作和外部采办等领域的控制。BS7799-2 从1998年颁布后，在全世界范围内得到广泛的认可。目前已有40多个国家和地区开展信息安全管理体系的认证。根据ISO/IEC 17799（BS 7799）国际使用者协会的最新统计，到2005年4月，全球通过信息安全管理体系ISO/IEC27001：2005认证的组织已经超过1200家。
　　信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

四、标准特点
注重体系的完整性，是一套科学的信息安全管理体系
以风险评估为基础
强调对法律法规的符合性
广泛适用于各类组织
与ISO9000标准有很强的兼容性

五、认证好处
获得ISMS认证您将获得以下好处：
保护企业的知识产权、商标、竞争优势
维护企业的声誉、品牌和客户信任
减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失
强化员工的信息安全意识，规范组织信息安全行为
在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度

六、师资力量