1、什么是信息安全

信息安全是一個廣泛而抽象的概念，不同領域不同方面對其概念的闡述都會有所不同。建立在網絡基礎之上的現代信息系統，其安全定義較為明確，那就是：保護信息系統的硬件、軟件及相關數據，使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統能夠連續、可靠、正常地運行。在商業和經濟領域，信息安全主要強調的是消減并控制風險，保持業務運營的連續性，并將風險造成的損失和影響降低到最低程度。

信息作為一種資產，是企業或組織進行正常業務運作和管理不可或缺的資源。從最高層次來講，信息安全關系到國家的安全；對組織機構來說，信息安全關系到業務正常運作和持續發展；對一個企業來說，生存發展是頭等大事，而企業的生存和發展，有賴于企業所特有的各項業務活動的健康有序的進行，對現代企業來說，高度信息化是必然之道，是企業一切業務、管理和運作活動所依賴的基礎之一；就個人而言，信息安全是保護個人隱私和財產的必然要求。無論是個人、組織還是國家，保持關鍵的信息資產的安全性都是非常重要的。信息安全的任務，就是要采取措施（技術手段及有效管理）讓這些信息資產免遭威脅，或者將威脅帶來的后果降到最低程度，以此維護組織的正常運作。

總的來說，凡是涉及到保密性、完整性、可用性、可追溯性、真實性和可靠性保護等方面的技術和理論，都是信息安全所要研究的范疇，也是信息安全所要實現的目標。

2、什么是信息安全管理體系

信息安全管理體系（Information Security Management System，簡稱ISMS）是組織整體管理體系的一個部分，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。基于對業務風險的認識，ISMS 包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動，并且表現為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

ISO/IEC27001:2005 就是建立和維護信息安全管理體系的標準，是國際最具權威的適用于各類組織的信息安全整體解決方案，它要求通過PDCA過程來建立ISMS 框架：確定體系范圍，制定信息安全策略，明確管理職責，通過風險評估確定控制目標和控制方式。體系一旦建立，組織應該實施、維護和持續改進ISMS，保持體系運作的有效性。同時，ISO/IEC27001:2005也非常強調信息安全管理過程中文件化的工作，ISMS 的文件體系應該包括安全策略、適用性聲明（選擇與未選擇的控制目標和控制措施）、實施安全控制所需的程序文件、ISMS 控制和操作程序，以及組織圍繞ISMS 開展的所有活動的證明材料。除此之外，它還提供了國際上知名企業在信息安全方面的133個良好實踐慣例，通過對組織中涉及信息安全的11大領域實施這133個控制措施來達到涵蓋整個組織信息安全的39個控制目標，從而實現整個組織的業務持續發展戰略。

3、為什么要建立信息安全管理體系

隨著信息技術的高速發展，特別是Internet的迅速普及和電子政務、電子商務的興起，許多信息安全的問題也紛紛出現：系統癱瘓、黑客入侵、病毒感染、網絡釣魚、網頁篡改、企業或機構資料與商業秘密泄露、核心技術被竊等等。這些信息安全問題給組織的經營管理、業務持續發展甚至生存都帶來嚴重的影響。

去年6月，公安部對2006年度信息網絡安全狀況的調查結果顯示，一些單位信息安全事件處置方法和手段單一，防范措施不完善，網絡安全管理人員不足、專業素質有待提高，被調查單位信息安全管理水平整體上仍滯后于信息化發展要求，我國計算機病毒本土化制作、傳播的趨勢更加明顯。

網絡安全事件調查顯示，2005年5月至2006年5月，54%的被調查單位發生過信息網絡安全事件，其中發生過3次以上的占22%，比去年上升7%。感染計算機病毒、蠕蟲和木馬程序仍然是最突出的網絡安全情況，占發生安全事件總數的84%；“遭到端口掃描或網絡攻擊”（36%）和“垃圾郵件”（35%）次之。金融證券行業發生網絡安全事件的比例最低，商業貿易、制造業、廣電和新聞、教育科研、互聯網和信息技術等行業發生網絡安全事件的比例較高。在發生的安全事件中，攻擊或傳播源來自外部的占50%；內外部均有的占34.5%，比去年上升10.5%。發現安全事件的途徑主要是網絡（系統）管理員通過技術監測發現，占54%；其次是通過安全產品報警發現，占46%；事后分析發現的占35%；未修補或防范軟件漏洞仍然是導致安全事件發生的最主要原因（73%）。

信息安全管理方面的調查顯示，83%的被調查單位設立了專職或兼職安全管理人員，11%的單位建立了安全組織。44%的被調查單位采購了信息安全服務，主要采購的服務有系統維護（79%）、安全檢測（60%），其次是容災備份與恢復（39%）、應急響應（31%）、信息安全咨詢（25%）。在采取安全管理和技術措施方面，68%的單位進行存儲備份，67%進行口令加密和訪問控制，56%制定了安全管理規章制度；近八成的被調查單位使用了防火墻和計算機病毒防治產品，其中防火墻產品中，73%的是國內產品；計算機病毒防治產品中，79%的是國內產品。

計算機病毒調查顯示，2006年計算機病毒感染率為74%；多次感染病毒的比率為52%，5、6月份出現了“敲詐者”木馬等盜取網上用戶密碼的計算機病毒。計算機病毒制造、傳播者利用病毒盜取QQ帳號、網絡游戲帳號和網絡游戲裝備，網上販賣計算機病毒，非法牟利的活動日益增多。計算機病毒發作造成損失的比例為62%。瀏覽器配置被修改、數據受損或丟失、系統使用受限、網絡無法使用、密碼被盜是計算機病毒造成的主要破壞后果；網絡瀏覽或下載仍是感染計算機病毒最多的途徑，通過優盤等移動存儲介質傳播病毒的比率明顯增加。

據統計，各種安全威脅對企業信息安全的影響指數是：特洛伊木馬、病毒、蠕蟲以及惡意代碼(無關源程序)占50%，間諜軟件占45%，垃圾軟件占44%，員工失誤(無心的)占39%，應用程序漏洞占37%，數據被員工或商業合作伙伴竊取占27%，黑客占36%，內部人員蓄意損壞占30%，無線LANs占30%，新技術的部署(如無線LANs，遠程訪問) 占27%，商業合作伙伴的失誤(無心的) 占24%，不屬競爭對手和網絡恐怖主義范疇的無意入侵者、員工或合作伙伴占20%，網絡恐怖主義占19%，不能遵循政府調整命令占16%，競爭者派來的間諜占15%。

統計數據表明，在所有的信息安全事件中，人為因素占52%，自然災害占 25% ，技術錯誤占10%，組織內部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達70%以上, 而這些安全問題中的95%是可以通過科學的信息安全管理來避免。如果企業或機構有一套系統全面的信息安全管理制度，并在企業或機構內部得到宣貫，90％的信息安全威脅都是可以避免的。