信息安全管理的国际标准

　　对一个企业或机构来说，信息和其它商业资产一样有价值。信息安全就是保护信息免受来自各 方面的威胁，是一个企业或机构持续经营策略和管理的重要环节。信息安全管理体制的建立和健全，目的就是降低信息风险对经营的危害，并将其投资和商业利益最大化。从对信息安全的认识来说，一方面，新闻媒体上不断披露的安全漏洞、频繁的病毒和黑客的攻击、日益增多的网络犯罪让人们不断地提高安全意；另一方面，人们也已经越来越深刻地认识到，信息安全不只是个技术问题，而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施，还需要更多地借助于技术以外的其它手段，如规范安全标准和进行信息安全管理，这一观点会被越来越多的人们所接受。单纯的技术不能提供信息全面的安全保护，仅靠安全产品并不能完全解决信息的安全问题已逐渐成为共识。

　　在全社会普遍关注信息安全的情况下，各个企业或机构又都面临遵循保密标准与安全法规的要求，越来越多的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。同时，有关信息安全标准、法律和法规的数量正在迅速增加，许多机构都面临遵守各种安全标准和法规的要求。随着越来越多的标准、法律和法规的出台，统一安全标准的需求自然成为一个很现实的问题。

　　信息安全管理国际标准的发展过程

　　1992年，世界经济合作与发展组织（oecd）发表了《信息系统安全指南》，旨在帮助成员和非成员的政府和企业组织增强信息系统的风险意识，提供一般性的安全知识框架。美国、oecd的其他23个成员，以及十几个非oecd成员都批准了这一指南。

　　该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作。促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育/宣传活动。该指南的最终目的是作为政府、公众和私有部门的信息安全管理的基准，相关机构能通过此基准来衡量本身在信息安全管理方面的进展。

　　国际会计师联合会于1998年也发表了一个有关《信息安全管理》的文件，认为信息系统安全的目标有三个：可用性，即确保信息系统在需要的时候可用；保密性，即对数据信息的访问控制设计完备的策略；完整性，即保证数据信息不受未经授权的修改。