信息是組織的血液,，存在的方式各異?？梢允谴蛴?，手寫,，也可以是電子,，演示和口述的。當(dāng)今商業(yè)競(jìng)爭(zhēng)日趨激烈,，來(lái)源于不同渠道的信息,，威脅到信息的一致性。它們來(lái)自內(nèi)部,，外部,，意外的，還可能是惡意的,。隨著信息儲(chǔ)存,，發(fā)送新技術(shù)的廣泛使用,，我們面臨的各種風(fēng)險(xiǎn)也在增高。信息安全越來(lái)越重要,！信息安全不是有一個(gè)終端防火墻,，或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的。它需要全面的綜合管理,。信息安全管理體系的引入,，可以協(xié)調(diào)各個(gè)方面信息管理，使管理更為有效,。信息安全管理體系是系統(tǒng)的對(duì)組織敏感信息及信息資產(chǎn)進(jìn)行管理,，涉及到人，程序和信息科技(IT)系統(tǒng),。需要建立廣泛的信息安全方針,。保證安全性，公正性,。適用組織內(nèi)部和客戶,。信息安全管理體系ISMS正成為世界上管理體系標(biāo)準(zhǔn)銷售增長(zhǎng)量最大的產(chǎn)品。

信息安全管理體系（Information security management systems,，簡(jiǎn)稱ISMS）（即ISO/IEC 27000系列）是目前國(guó)際信息安全管理標(biāo)準(zhǔn)研究的重點(diǎn),。

ISO27000 系列共包括10個(gè)標(biāo)準(zhǔn)，當(dāng)前已經(jīng)發(fā)布和在研究的有6個(gè),，分別為：

1,、ISO/IEC 27000《信息安全管理體系 基礎(chǔ)和詞匯》；

2,、ISO/IEC 27001：2005《信息安全管理體系 要求》,；

3、ISO/IEC 17799：2005《信息安全管理實(shí)用規(guī)則》（2007年4月后,，編號(hào)將改為27002）,；

4、ISO/IEC 27003《信息安全管理體系實(shí)施指南》,；

5,、ISO/IEC 27004《信息安全管理測(cè)量》；

6,、ISO/IEC 27005《信息安全風(fēng)險(xiǎn)管理》,。

一、什么是信息安全,？像其他重要業(yè)務(wù)資產(chǎn)一樣,，信息也是對(duì)組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要,。這種互連性的增加導(dǎo)致信息暴露于日益增多的,、范圍越來(lái)越廣的威脅和脆弱性當(dāng)中（也可參考關(guān)于信息系統(tǒng)和網(wǎng)絡(luò)的安全的OECD指南）。信息可以以多種形式存在,。它可以打印或?qū)懺诩埳?、以電子方式存?chǔ)、用郵寄或電子手段傳送,、呈現(xiàn)在膠片上或用語(yǔ)言表達(dá),。無(wú)論信息以什么形式存在，用哪種方法存儲(chǔ)或共享,，都應(yīng)對(duì)它進(jìn)行適當(dāng)?shù)乇Ｗo(hù),。信息安全是保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性,，業(yè)務(wù)風(fēng)險(xiǎn)最小化,，投資回報(bào)和商業(yè)機(jī)遇最大化。信息安全是通過(guò)實(shí)施一組合適的控制措施而達(dá)到的,，包括策略,、過(guò)程、規(guī)程,、組織結(jié)構(gòu)以及軟件和硬件功能,。在需要時(shí)需建立、實(shí)施,、監(jiān)視,、評(píng)審和改進(jìn)這些控制措施，以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo),。這個(gè)過(guò)程應(yīng)與其他業(yè)務(wù)管理過(guò)程聯(lián)合進(jìn)行,。

二、為什么需要信息安全,？信息及其支持過(guò)程,、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。定義,、實(shí)現(xiàn),、保持和改進(jìn)信息安全對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金周轉(zhuǎn),、贏利,、守法和商業(yè)形象可能是至關(guān)重要的,。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來(lái)自各個(gè)方面的安全威脅,，包括計(jì)算機(jī)輔助欺詐、間諜活動(dòng)、惡意破壞,、毀壞行為,、火災(zāi)或洪水。諸如惡意代碼,、計(jì)算機(jī)黑客搗亂和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅,，已經(jīng)變得更加普遍、更有野心和日益復(fù)雜,。信息安全對(duì)于公共和專用兩部分的業(yè)務(wù)以及保護(hù)關(guān)鍵基礎(chǔ)設(shè)施是非常重要的,。在這兩部分中信息安全都將作為一個(gè)使動(dòng)者，例如實(shí)現(xiàn)電子政務(wù)或電子商務(wù),，避免或減少相關(guān)風(fēng)險(xiǎn),。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連、信息資源的共享都增加了實(shí)現(xiàn)訪問(wèn)控制的難度,。分布式計(jì)算的趨勢(shì)也削弱了集中的,、專門控制的有效性。許多信息系統(tǒng)并沒(méi)有被設(shè)計(jì)成是安全的,。通過(guò)技術(shù)手段可獲得的安全性是有限的,，應(yīng)該通過(guò)適當(dāng)?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施要實(shí)施到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié),。信息安全管理至少需要該組織內(nèi)的所有員工參與,，還可能要求利益相關(guān)人、供應(yīng)商,、第三方,、顧客或其他外部團(tuán)體的參與。外部組織的顧問(wèn),、專家建議可能也是需要的,。

三、 如何建立安全要求組織識(shí)別出其安全要求是非常重要的,，安全要求有三個(gè)主要來(lái)源：

1,、一個(gè)來(lái)源是在考慮組織整體業(yè)務(wù)戰(zhàn)略和目標(biāo)的情況下，評(píng)估該組織的風(fēng)險(xiǎn)所獲得的,。通過(guò)風(fēng)險(xiǎn)評(píng)估,，識(shí)別資產(chǎn)受到的威脅，評(píng)價(jià)易受威脅利用的脆弱性和威脅發(fā)生的可能性,，估計(jì)潛在的影響,。

2、另一個(gè)來(lái)源是組織,、貿(mào)易伙伴,、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求,，以及他們的社會(huì)文化環(huán)境,。

3、第三個(gè)來(lái)源是組織開(kāi)發(fā)的支持其運(yùn)行的信息處理的原則,、目標(biāo)和業(yè)務(wù)要求的特定集合,。

四、評(píng)估安全風(fēng)險(xiǎn)安全要求是通過(guò)對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估予以識(shí)別的,。用于控制措施的支出需要針對(duì)可能由安全故障導(dǎo)致的業(yè)務(wù)損害加以平衡,。風(fēng)險(xiǎn)評(píng)估的結(jié)果將幫助指導(dǎo)和決定適當(dāng)?shù)墓芾硇袆?dòng)、管理信息安全風(fēng)險(xiǎn)的優(yōu)先級(jí)以及實(shí)現(xiàn)所選擇的用以防范這些風(fēng)險(xiǎn)的控制措施,。風(fēng)險(xiǎn)評(píng)估應(yīng)定期進(jìn)行,，以應(yīng)對(duì)可能影響風(fēng)險(xiǎn)評(píng)估結(jié)果的任何變化。

五,、選擇控制措施一旦安全要求和風(fēng)險(xiǎn)已被識(shí)別并已做出風(fēng)險(xiǎn)處理決定,，則應(yīng)選擇并實(shí)現(xiàn)合適的控制措施，以確保風(fēng)險(xiǎn)降低到可接受的級(jí)別,?？刂拼胧┛梢詮摹缎畔踩芾磉m用規(guī)則》或其他控制措施集合中選擇，或者當(dāng)合適時(shí)設(shè)計(jì)新的控制措施以滿足特定需求,。安全控制措施的選擇依賴于組織所做出的決定,，該決定是基于組織所應(yīng)用的風(fēng)險(xiǎn)接受準(zhǔn)則、風(fēng)險(xiǎn)處理選項(xiàng)和通用的風(fēng)險(xiǎn)管理方法,，同時(shí)還要遵守所有相關(guān)的國(guó)家和國(guó)際法律法規(guī),。《信息安全管理適用規(guī)則》中的某些控制措施可被當(dāng)作信息安全管理的指導(dǎo)原則,，并且可用于大多數(shù)組織,。

六、信息安全起點(diǎn),，許多控制措施被認(rèn)為是實(shí)現(xiàn)信息安全的良好起點(diǎn),。它們或者是基于重要的法律要求，或者被認(rèn)為是信息安全的常用慣例,。