國際標(biāo)準(zhǔn)化組織 (ISO) 是一個(gè)獨(dú)立的非政府組織，是全球最大的自愿性國際標(biāo)準(zhǔn)開發(fā)者聯(lián)盟。 國際電工委員會 (IEC) 是世界領(lǐng)導(dǎo)組織，負(fù)責(zé)制定和發(fā)布有關(guān)電氣、電子和相關(guān)技術(shù)領(lǐng)域的國際標(biāo)準(zhǔn)。

ISO/IEC 27000 系列標(biāo)準(zhǔn)由 ISO/IEC 聯(lián)合小組委員會發(fā)布，概述了數(shù)百個(gè)控制措施和控制機(jī)制，以幫助所有類型和規(guī)模的組織確保信息資產(chǎn)安全。 這些全球標(biāo)準(zhǔn)針對政策與流程提供了一個(gè)框架，其中包括所有與組織信息風(fēng)險(xiǎn)管理流程相關(guān)的法律、物理和技術(shù)控制措施。

ISO/IEC 27001 是一個(gè)正式規(guī)范信息安全管理體系 (ISMS) 的安全標(biāo)準(zhǔn)，旨在通過明確的管理控制實(shí)現(xiàn)信息安全。 作為正式規(guī)范，它規(guī)定了定義如何實(shí)施、監(jiān)控、維護(hù)及不斷改進(jìn) ISMS 的各項(xiàng)要求。 此外，其中還規(guī)定了一系列最佳實(shí)踐，包括文檔編制要求、責(zé)任劃分、可用性、訪問控制、安全性、審核，以及糾正和預(yù)防措施。 通過 ISO / IEC 27001 認(rèn)證，有助于組織遵守與信息安全有關(guān)的各種法規(guī)及法律要求。

信息安全管理體系ISMS（Information SecurITry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)組織的信息安全系統(tǒng)，其目的是保障組織的信息安全。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。

信息安全管理體系（ISMS）是一個(gè)系統(tǒng)化、程序化和文件化的管理體系，屬于風(fēng)險(xiǎn)管理的范疇，體系的建立需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評估。ISMS體現(xiàn)預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)，強(qiáng)調(diào)全過程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則，合理選擇安全控制方式保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn)，確保信息的保密性、完整性和可用性，從而保持組織的競爭優(yōu)勢和業(yè)務(wù)運(yùn)作的持續(xù)性。

信息安全的范圍是非常廣泛的，首先我們查看一下信息安全在ISO/IEC27001:2005信息安全管理體系的術(shù)語當(dāng)中是怎么定義的。

在ISO27001:2013標(biāo)準(zhǔn)中將信息安全定義為：保護(hù)信息的保密性、完整性、可用性及其他屬性，如：真實(shí)性、可核查性、可控制性、不可抵賴性可靠性、防抵賴性。

信息安全的相關(guān)屬性：

保密性：保障信息僅僅為那些被授權(quán)使用的人所獲取。保證信息不被非授權(quán)訪問；即使非授權(quán)用戶得到信息也無法知曉信息內(nèi)容或不明白信息內(nèi)容的含義，因而不能使用。

完整性：保護(hù)信息及其處理方法的準(zhǔn)確性和完整性。保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。一方面它指在信息使用、傳輸、存儲的過程中不發(fā)生篡改、丟失、錯(cuò)誤；另一方面是指信息處理方法的正確性。

可用性：保障授權(quán)使用人在需要時(shí)可以獲取和使用信息。保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。

真實(shí)性：對信息的來源進(jìn)行判斷，能對偽造來源的信息，信息安全相關(guān)書籍予以鑒別。

不可抵賴性：建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為，這一點(diǎn)在電子商務(wù)中是極其重要的。

可控制性：對信息的傳播及內(nèi)容具有控制能力。授權(quán)機(jī)構(gòu)對信息的內(nèi)容及傳播具有控制能力，可以控制授權(quán)范圍內(nèi)的信息流向及其方法。

可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。在信息交流過程結(jié)束后，通過雙方不能抵賴曾經(jīng)做出的行為，也不能否認(rèn)曾經(jīng)接受到對方的信息。

信息安全事件（Event）的定義：信息安全事件是指識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效；或以前未知的與安全相關(guān)的情況。

信息安全事故（Incident）的定義：信息安全事故是指一個(gè)或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對業(yè)務(wù)運(yùn)營造成嚴(yán)重影響或威脅信息安全。

信息安全的重要性：信息安全是任何一個(gè)國家、政府、部門、行業(yè)都必須十分重視的問題，是一個(gè)不容忽視的國家安全戰(zhàn)略問題。但是，對于不同的部門和行業(yè)來說，其對信息安全的要求和重點(diǎn)卻是有區(qū)別的。 對于政府、金融、電信和科研機(jī)構(gòu)信息安全尤為重要。

信息作為一種資產(chǎn)，是企業(yè)或組織進(jìn)行正常商務(wù)運(yùn)作和管理不可或缺的資源。從最高層次來講，信息安全關(guān)系到國家的安全；對組織機(jī)構(gòu)來說，信息安全關(guān)系到正常運(yùn)作和持續(xù)發(fā)展；就個(gè)人而言，信息安全是保護(hù)個(gè)人隱私和財(cái)產(chǎn)的必然要求。無論是個(gè)人、組織還是國家，保持關(guān)鍵的信息資產(chǎn)的安全性都是非常重要的。信息安全的任務(wù)，就是要采取措施（技術(shù)手段及有效管理）讓這些信息資產(chǎn)免遭威脅，或者將威脅帶來的后果降到最低程度，以此維護(hù)組織的正常運(yùn)作。

根據(jù)國際標(biāo)準(zhǔn)化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。其根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認(rèn)證、訪問控制，不能有非法軟件駐留，不能有非法操作。實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。

信息安全是一個(gè)廣泛而抽象的概念，不同領(lǐng)域不同方面對其概念的闡述都會有所不同。建立在網(wǎng)絡(luò)基礎(chǔ)之上的現(xiàn)代信息系統(tǒng)，其安全定義較為明確，那就是：保護(hù)信 息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换蛘邜阂馇址付馐芷茐摹⒏募靶孤?，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。在商業(yè)和經(jīng)濟(jì)領(lǐng)域，信息安 全主要強(qiáng)調(diào)的是消減并控制風(fēng)險(xiǎn)，保持業(yè)務(wù)操作的連續(xù)性，并將風(fēng)險(xiǎn)造成的損失和影響降低到最低程度。

總的來說，凡是涉及到保密性、完整性、可用性、可追溯性、真實(shí)性和可靠性保護(hù)等方面的技術(shù)和理論，都是信息安全所要研究的范疇，也是信息安全所要實(shí)現(xiàn)的目標(biāo)。