1、什么是信息安全

信息安全是一個廣泛而抽象的概念，不同領(lǐng)域不同方面對其概念的闡述都會有所不同。建立在網(wǎng)絡(luò)基礎(chǔ)之上的現(xiàn)代信息系統(tǒng)，其安全定義較為明確，那就是：保護信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行。在商業(yè)和經(jīng)濟領(lǐng)域，信息安全主要強調(diào)的是消減并控制風險，保持業(yè)務運營的連續(xù)性，并將風險造成的損失和影響降低到最低程度。

信息作為一種資產(chǎn)，是企業(yè)或組織進行正常業(yè)務運作和管理不可或缺的資源。從最高層次來講，信息安全關(guān)系到國家的安全；對組織機構(gòu)來說，信息安全關(guān)系到業(yè)務正常運作和持續(xù)發(fā)展；對一個企業(yè)來說，生存發(fā)展是頭等大事，而企業(yè)的生存和發(fā)展，有賴于企業(yè)所特有的各項業(yè)務活動的健康有序的進行，對現(xiàn)代企業(yè)來說，高度信息化是必然之道，是企業(yè)一切業(yè)務、管理和運作活動所依賴的基礎(chǔ)之一；就個人而言，信息安全是保護個人隱私和財產(chǎn)的必然要求。無論是個人、組織還是國家，保持關(guān)鍵的信息資產(chǎn)的安全性都是非常重要的。信息安全的任務，就是要采取措施（技術(shù)手段及有效管理）讓這些信息資產(chǎn)免遭威脅，或者將威脅帶來的后果降到最低程度，以此維護組織的正常運作。

總的來說，凡是涉及到保密性、完整性、可用性、可追溯性、真實性和可靠性保護等方面的技術(shù)和理論，都是信息安全所要研究的范疇，也是信息安全所要實現(xiàn)的目標。

2、什么是信息安全管理體系

信息安全管理體系（Information Security Management System，簡稱ISMS）是組織整體管理體系的一個部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。基于對業(yè)務風險的認識，ISMS 包括建立、實施、操作、監(jiān)視、復查、維護和改進信息安全等一系列的管理活動，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

ISO/IEC27001:2005 就是建立和維護信息安全管理體系的標準，是國際最具權(quán)威的適用于各類組織的信息安全整體解決方案，它要求通過PDCA過程來建立ISMS 框架：確定體系范圍，制定信息安全策略，明確管理職責，通過風險評估確定控制目標和控制方式。體系一旦建立，組織應該實施、維護和持續(xù)改進ISMS，保持體系運作的有效性。同時，ISO/IEC27001:2005也非常強調(diào)信息安全管理過程中文件化的工作，ISMS 的文件體系應該包括安全策略、適用性聲明（選擇與未選擇的控制目標和控制措施）、實施安全控制所需的程序文件、ISMS 控制和操作程序，以及組織圍繞ISMS 開展的所有活動的證明材料。除此之外，它還提供了國際上知名企業(yè)在信息安全方面的133個良好實踐慣例，通過對組織中涉及信息安全的11大領(lǐng)域?qū)嵤┻@133個控制措施來達到涵蓋整個組織信息安全的39個控制目標，從而實現(xiàn)整個組織的業(yè)務持續(xù)發(fā)展戰(zhàn)略。

3、為什么要建立信息安全管理體系

隨著信息技術(shù)的高速發(fā)展，特別是Internet的迅速普及和電子政務、電子商務的興起，許多信息安全的問題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)絡(luò)釣魚、網(wǎng)頁篡改、企業(yè)或機構(gòu)資料與商業(yè)秘密泄露、核心技術(shù)被竊等等。這些信息安全問題給組織的經(jīng)營管理、業(yè)務持續(xù)發(fā)展甚至生存都帶來嚴重的影響。

去年6月，公安部對2006年度信息網(wǎng)絡(luò)安全狀況的調(diào)查結(jié)果顯示，一些單位信息安全事件處置方法和手段單一，防范措施不完善，網(wǎng)絡(luò)安全管理人員不足、專業(yè)素質(zhì)有待提高，被調(diào)查單位信息安全管理水平整體上仍滯后于信息化發(fā)展要求，我國計算機病毒本土化制作、傳播的趨勢更加明顯。

網(wǎng)絡(luò)安全事件調(diào)查顯示，2005年5月至2006年5月，54%的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中發(fā)生過3次以上的占22%，比去年上升7%。感染計算機病毒、蠕蟲和木馬程序仍然是最突出的網(wǎng)絡(luò)安全情況，占發(fā)生安全事件總數(shù)的84%；“遭到端口掃描或網(wǎng)絡(luò)攻擊”（36%）和“垃圾郵件”（35%）次之。金融證券行業(yè)發(fā)生網(wǎng)絡(luò)安全事件的比例最低，商業(yè)貿(mào)易、制造業(yè)、廣電和新聞、教育科研、互聯(lián)網(wǎng)和信息技術(shù)等行業(yè)發(fā)生網(wǎng)絡(luò)安全事件的比例較高。在發(fā)生的安全事件中，攻擊或傳播源來自外部的占50%；內(nèi)外部均有的占34.5%，比去年上升10.5%。發(fā)現(xiàn)安全事件的途徑主要是網(wǎng)絡(luò)（系統(tǒng)）管理員通過技術(shù)監(jiān)測發(fā)現(xiàn)，占54%；其次是通過安全產(chǎn)品報警發(fā)現(xiàn)，占46%；事后分析發(fā)現(xiàn)的占35%；未修補或防范軟件漏洞仍然是導致安全事件發(fā)生的最主要原因（73%）。

信息安全管理方面的調(diào)查顯示，83%的被調(diào)查單位設(shè)立了專職或兼職安全管理人員，11%的單位建立了安全組織。44%的被調(diào)查單位采購了信息安全服務，主要采購的服務有系統(tǒng)維護（79%）、安全檢測（60%），其次是容災備份與恢復（39%）、應急響應（31%）、信息安全咨詢（25%）。在采取安全管理和技術(shù)措施方面，68%的單位進行存儲備份，67%進行口令加密和訪問控制，56%制定了安全管理規(guī)章制度；近八成的被調(diào)查單位使用了防火墻和計算機病毒防治產(chǎn)品，其中防火墻產(chǎn)品中，73%的是國內(nèi)產(chǎn)品；計算機病毒防治產(chǎn)品中，79%的是國內(nèi)產(chǎn)品。

計算機病毒調(diào)查顯示，2006年計算機病毒感染率為74%；多次感染病毒的比率為52%，5、6月份出現(xiàn)了“敲詐者”木馬等盜取網(wǎng)上用戶密碼的計算機病毒。計算機病毒制造、傳播者利用病毒盜取QQ帳號、網(wǎng)絡(luò)游戲帳號和網(wǎng)絡(luò)游戲裝備，網(wǎng)上販賣計算機病毒，非法牟利的活動日益增多。計算機病毒發(fā)作造成損失的比例為62%。瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、網(wǎng)絡(luò)無法使用、密碼被盜是計算機病毒造成的主要破壞后果；網(wǎng)絡(luò)瀏覽或下載仍是感染計算機病毒最多的途徑，通過優(yōu)盤等移動存儲介質(zhì)傳播病毒的比率明顯增加。

據(jù)統(tǒng)計，各種安全威脅對企業(yè)信息安全的影響指數(shù)是：特洛伊木馬、病毒、蠕蟲以及惡意代碼(無關(guān)源程序)占50%，間諜軟件占45%，垃圾軟件占44%，員工失誤(無心的)占39%，應用程序漏洞占37%，數(shù)據(jù)被員工或商業(yè)合作伙伴竊取占27%，黑客占36%，內(nèi)部人員蓄意損壞占30%，無線LANs占30%，新技術(shù)的部署(如無線LANs，遠程訪問) 占27%，商業(yè)合作伙伴的失誤(無心的) 占24%，不屬競爭對手和網(wǎng)絡(luò)恐怖主義范疇的無意入侵者、員工或合作伙伴占20%，網(wǎng)絡(luò)恐怖主義占19%，不能遵循政府調(diào)整命令占16%，競爭者派來的間諜占15%。

統(tǒng)計數(shù)據(jù)表明，在所有的信息安全事件中，人為因素占52%，自然災害占 25% ，技術(shù)錯誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達70%以上, 而這些安全問題中的95%是可以通過科學的信息安全管理來避免。如果企業(yè)或機構(gòu)有一套系統(tǒng)全面的信息安全管理制度，并在企業(yè)或機構(gòu)內(nèi)部得到宣貫，90％的信息安全威脅都是可以避免的。