信息安全 (Information security): 是指信息的保密性 (Confidentiality) ��、完整性 (Integrity) 和可用性 (Availability) 的保持���。
? 保密性:為保障信息僅僅為那些被授權使用的人獲取����。
信息的保密性是針對信息被允許訪(fǎng)問(wèn)( Access )對象的多少而不同�,所有人員都可以訪(fǎng)問(wèn)的信息為公開(kāi)信息��,需要限制訪(fǎng)問(wèn)的信息一般為敏感信息或秘密�,秘密可以根據信息的重要性及保密要求分為不同的密級����,例如國家根據秘密泄露對國家經(jīng)濟�、安全利益產(chǎn)生的影響(后果)不同���,將國家秘密分為秘密�����、機密和絕密三個(gè)等級��,組織可根據其信息安全的實(shí)際����,在符合《國家保密法》的前提下將其信息劃分為不同的密級����;對于具體的信息的保密性有時(shí)效性����,如秘密到期解密等�����。
? 完整性:為保護信息及其處理方法的準確性和完整性��。
信息完整性一方面是指信息在利用�、傳輸�����、貯存等過(guò)程中不被篡改�、丟失�、缺損等��,另一方面是指信息處理的方法的正確性�。不正當的操作�����,如誤刪除文件�����,有可能造成重要文件的丟失���。
? 可用性:為保障授權使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)�。
信息的可用性是指信息及相關(guān)的信息資產(chǎn)在授權人需要的時(shí)候��,可以立即獲得���。例如通信線(xiàn)路中斷故障會(huì )造成信息的在一段時(shí)間內不可用�����,影響正常的商業(yè)運作��,這是信息可用性的破壞�����。不同類(lèi)型的信息及相應資產(chǎn)的信息安全在保密性�、完整性及可用性方面關(guān)注點(diǎn)不同���,如組織的專(zhuān)有技術(shù)��、市場(chǎng)營(yíng)銷(xiāo)計劃等商業(yè)秘密對組織來(lái)講保守機密尤其重要���;而對于工業(yè)自動(dòng)控制系統�����,控制信息的完整性相對其保密性重要得多�����。
為什么需要信息安全���?
信息���、信息處理過(guò)程及對信息起支持作用的信息系統和信息網(wǎng)絡(luò )都是重要的商務(wù)資產(chǎn)�。信息的保密性�、完整性和可用性對保持競爭優(yōu)勢�����、資金流動(dòng)���、效益��、法律符合性和商業(yè)形象都是至關(guān)重要的��。然而��,越來(lái)越多的組織及其信息系統和網(wǎng)絡(luò )面臨著(zhù)包括計算機詐騙����、間諜�、蓄意破壞����、火災�����、水災等大范圍的安全威脅�����,諸如計算機病毒����、計算機入侵�、 Dos 攻擊等手段造成的信息災難已變得更加普遍 , 有計劃而不易被察覺(jué)���。組織對信息系統和信息服務(wù)的依賴(lài)意味著(zhù)更易受到安全威脅的破壞�,公共和私人網(wǎng)絡(luò )的互連及信息資源的共享增大了實(shí)現訪(fǎng)問(wèn)控制的難度��。許多信息系統本身就不是按照安全系統的要求來(lái)設計的�����,所以?xún)H依靠技術(shù)手段來(lái)實(shí)現信息安全有其局限性����,所以信息安全的實(shí)現必須得到管理和程序控制的適當支持�����。確定應采取哪些控制方式則需要周密計劃��,并注意細節�。信息安全管理至少需要組織中的所有雇員的參與���,此外還需要供應商�、顧客或股東的參與和信息安全的專(zhuān)家建議�。在信息系統設計階段就將安全要求和控制一體化考慮����,則成本會(huì )更低����、效率會(huì )更高�����。
BS7799的信息管理過(guò)程:
?����、俅_定信息安全管理方針�。
?����、诖_定 ISMS( 信息安全管理體系) 的范圍
?���、圻M(jìn)行風(fēng)險分析��。
?��、苓x擇控制目標并進(jìn)行控制�����。
?����、萁I(yè)務(wù)持續計劃��。
?����、藿⒉?shí)施安全管理體系��。
建立信息安全管理體系的作用:
任何組織�,不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)�����,實(shí)際上在信息安全管理方面都還存在漏洞��,例如:
缺少信息安全管理論壇���,安全導向不明確�,管理支持不明顯�;
缺少跨部門(mén)的信息安全協(xié)調機制�����;
保護特定資產(chǎn)以及完成特定安全過(guò)程的職責還不明確����;
雇員信息安全意識薄弱��,缺少防范意識���,外來(lái)人員很容易直接進(jìn)入生產(chǎn)和工作場(chǎng)所���;
組織信息系統管理制度不夠健全��;
組織信息系統主機房安全存在隱患���,如:防火設施存在問(wèn)題����,與危險品倉庫同處一幢辦公樓等�����;
組織信息系統備份設備仍有欠缺���;
組織信息系統安全防范技術(shù)投入欠缺����;
軟件知識產(chǎn)權保護欠缺���;
計算機房����、辦公場(chǎng)所等物理防范措施欠缺�;
檔案����、記錄等缺少可靠貯存場(chǎng)所�;
缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營(yíng)連續性的措施和計劃�����;
……等等���。
其實(shí)�,組織可以參照信息安全管理模型��,按照先進(jìn)的信息安全管理標準 BS7799 標準建立組織完整的信息安全管理體系并實(shí)施與保持����,達到動(dòng)態(tài)的���、系統的����、全員參與�����、制度化的����、以預防為主的信息安全管理方式�,用最低的成本���,達到可接受的信息安全水平����,就可以從根本上保證業(yè)務(wù)的連續性��。組織建立���、實(shí)施與保持信息安全管理體系將會(huì )產(chǎn)生如下作用:
強化員工的信息安全意識�����,規范組織信息安全行為�;
對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統的保護���,維持競爭優(yōu)勢��;
在信息系統受到侵襲時(shí)��,確保業(yè)務(wù)持續開(kāi)展并將損失降到最低程度�;
使組織的生意伙伴和客戶(hù)對組織充滿(mǎn)信心��;
如果通過(guò)體系認證����,表明體系符合標準���,證明組織有能力保障重要信息���,提高組織的知名度與信任度����;
促使管理層堅持貫徹信息安全保障體系���。
