信息象其他重要的商務資産一樣，也是一種資産，對一個組織而言具有價值，因而需要妥善保護。信息安全使信息避免一系列威脅，保障商務的連續性，大限度地減少商務的損失，大限度地獲取投資和商務的回報。

信息是所有組織的血肉。它可以以多種形式存在，可以是打印出來的或寫出來的論文，電子存儲信件，通過郵件或使用其他電子手段傳遞，顯示在膠片上或表達在會話中。事實上，所有的組織都有他們各自處理信息的形式。銀行、保險和信用卡公司都處理消費者信息，保健提供者需要管理其病人的信息，政府部門存儲機密的和分類信息。不僅僅是市場，所有組織需要安全性管理，存儲和保護公司以及客戶信息。不論信息采用什麼方式或采取什麼手段共享和存儲，它應該總是得到妥善保護。

信息安全的維持可表現為：

A安全性：确保信息僅可讓授權獲取的人士訪問;

B完整性：保護信息和處理方法的準确和完善;

C可用性：确保授權人需要時可以獲取信息和相應的資産。

襄陽信息安全管理體系認證,襄陽ISO27001認證分析信息安全通過執行一套适當的控制來達到。它可以是方針、慣例、程序、組織結構和軟件功能來實現，這些控制方式需要确定，以保障組織特定安全目标的實現。

二、為什麼需要信息安全

信息的支持過程，系統和網絡都是重要的商務資産。信息的保密性、完整性和可用性對保持競争優勢、資金流動、效益、法律符合性和商務形象都是至關重要的。

而如今的組織及其信息系統和網絡面臨着包括計算機輔助欺詐、刺探、陰謀破壞行為、火災、水災等大範圍的安全威脅，而其他類似計算機病毒、盜 竊和服務器非法入侵破壞等已變得更加普遍，更加錯綜複雜。據統計表明80-90%公司的計算機犯罪是内部人幹的，在金融系統中，自1992年英國商業因信息安全的損失估計達到1.2萬億英鎊(參考信息安全技術報告，Vol.3，No.4)。組織依靠信息系統和服務意味着更易受到安全威脅的破壞;公共和私人網絡的互連及信息資源的共享增大了控制訪問的難度;分布式計算機的趨勢減弱了中央、專家控制的有效性……因此保護和防衛信息是很必要的。而由于許多信息系統并非在設計時就考慮了安全，依靠技術手段實現安全很有限，則應該由适當的管理和程序來支持。

信息安全管理是通過保證維護信息的機密性，完整性和可用性來管理和保護機構部門的所有的信息資産的一項體制。如果按要求的規範在設計階段實行信息安全管理，還會降低成本，提高效率。

三、信息安全标準建立的目的和适用範圍

BS 7799——信息安全标準是英國的工業、政府和商業共同需求而發展的一個标準，它确保公司發展，實施和估量有效的安全管理時間并為公司貿易内部提供信心。目前此标準是領導英國和國際商業好的信息安全慣例并受到國際一緻好評。因為标準适用于各種類型的組織，公共的或私人的部門和任何商業環境，它的第一部分包含好的信息安全管理應用并且是國際适用的。關于BS7799成為國際(ISO)标準的評審正在進行。

BS7799的原始的版本是1995年出版：為了确保它的不過時，所有的标準需要定期地評定。BS 7799：1999是1995版本的一個修訂版本和擴展版本：它包含了所有的原始的控制和一套在原有的基礎上擴展的新的控制。例如，新版本包括關于電子商務，移動計算機，遠程工作和外部采辦等領域的控制。

四、信息安全标準的主要要求

BS 7799分兩部分出版：1、BS 7799-1：1999信息安全管理應用程序和2、BS 7799-2：1999信息安全管理系統的規範。它是用于組織實施信息安全管理的一項體制。有10個以文獻形式體現各種控制主題，其範圍從來自第三方合同的風險識别，報告各種可能的安全事故到密碼管理系統和用戶培訓。這十個章節和它們的客觀目标在BS 7799中第二部分中有詳細描述，大緻可總結為：

信息安全方針——為信息安全提供管理方向和保障;

組織安全——建立組織内的管理體系以便安全管理;

資産歸類和控制——維護組織資産的适當保護系統;

人員安全——減少人為造成的風險;

實物和環境安全——防止對關于IT服務的未經許可的介入，損傷和幹擾服務;

通訊和操作管理——保證通訊和操作設備的正确和安全維護;

訪問控制——控制對商業信息的訪問;

系統開發和維護——保證安全建造進入安全系統;

商業連續性管理——防止商業活動中斷及保護關鍵商業過程不受重大失誤或災難事故的影響;

遵守——避免任何違反法令、法規、合同約定及其他安全要求的行為。

總之，随着組織間的電子網絡的增加，通過信息安全管理的參考文獻記載可以看到信息安全管理明顯的利益。它能夠建立起網站和貿易夥伴之間的互相信任并為IT用戶和服務提供商之間提供一個基礎的設備管理。再加上信息安全威脅随信息爆炸時代逐漸升級，越來越多的組織已經意識到執行信息安全标準的益處。