一、        什么是信息安全

信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。

信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键信息资产的安全性是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。

总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。

二、        为什么需要信息安全？

在人类迈入信息息时代的今天，组织在分享着现代科技带来便利的同时，也面临着信息安全的威胁。如何既能享用现代信息系统的快捷方便，又能充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。专家研究表明，信息安全在于保证信息的保密性、完整性、可用性三种属性不被破坏。信息安全可使信息避免一系列威胁，保障业务的连续性，最大限度地减少业务的损失，获取相关方的信任，以最大限度地获得投资和业务的回报。

“七分管理，三分技术”的信息安全原则表明，解决信息安全问题不应仅从技术方着手，同时更应加强信息安全的管理工作，通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题。ISO/IEC 27001标准目前是国际上公认的实现信息安全管理的最佳标准。该标准强调以风险管理为基础的、全面的安全管理，目前该方法在世界范围内得到了广泛的认可。