什麼是資訊：資訊是一種資產，像其他重要的商業資產（Business assets）一樣，對一個組織而言是具有價值的。資訊可以多種形式存在（如：列印或寫在紙上，電子形式貯存，透過電子郵件傳輸，顯示在膠片上或表達在會話中，不論資訊採用什麼方式，採用什麼手段共用和貯存，它都必須得到妥善保護，使資訊避免一系列威脅，保障商業（Business）的連續性，最大限度商業的損失，最大限度獲取投資和商業的回饋。如何確保顧客與企業內部資訊的保密性、完整性及可用性則是當今最重要的課題。

　　資訊安全管理系統（Information Security Management System簡稱ISMS）因此孕育而生，並由英國工業貿易部倡導，現正在全球推行當中。

為何資訊安全是如此重要？

竊取：每一英磅資訊技術的設備漏失或損害，將瓦解商業成本十英磅以上。
網際網路：美國五角大廈每日可偵測80～100個駭客入侵。
電腦犯罪：電腦入侵每年以45%的速率在成長。
電子郵件：10%資訊是垃圾，9%含機密性資料，2%笑話及2%含病毒。
病毒：超過10,000次病毒常態性的影響，每月有150～200隻新的病毒產生。

資訊安全管理系統發展史

BS 7799標準概要性的介紹，其可分為兩大部份：

第一部份（BS 7799-1）－
資訊安全管理實施細則（Code of practice for information Security management）：是作為系統規範要求的最佳應用指南，不能作為驗證標準。

第二部份（BS 7799-2）－
資訊安全管理系統規劃（Specification for information Security management system）：可以作為整個組織或部份單位其資訊安全管理系統（ISMS）評估的基準，也就是它可以做為一個正式驗證的標準。

由於BS 7799是一個管理系統，因此其推展與方法相對與ISO 9000、ISO 14000並無太大差異，同樣是依循PDCA循環作持續改善、訂定政策、文件管制、內部稽核，較大差異在於資訊安全的風險評估及36項目標訂定與127個控制點的選擇需具有專業認知與方法，且涵蓋財務面。

BS 7799資訊安全管理系統的實施指引

組織對資訊安全需求的來源

(一)來自對組織的風險之評估，透過風險評估，鑑別出對資產的威脅，估計發生的脆弱點和可能發生性，預測潛在的影響。
(二)來自組織貿易夥伴、承包商和服務供應商必須符合的法律、法規、規章和合約的要求。
(三)來自組織已制定維持其運作的資訊處理原則、目標和要求。

　　綜合上項來源，匯集所有對的控制點、適當的需求，從資訊安全計劃的過程就開始，才是最終成效的關鍵。經驗顯示，關鍵性成功因素來自組織內部的實施方針：

1.反映商業（Business）目標的安全政策、目標和活動。
2.與組織文化一致之實施安全的方法。
3.管理階層的有形支援和承諾。
4.對安全要求、風險評估和風險管理的良好理解。
5.向管理幹部及所有員工推行安全意識。
6.向所有員工和供應商發佈資訊安全政策指導綱要和標準。
7.提供適當的訓練和教育。
（調查顯示在公司內有80%違反安全的事件，都是由被授權的人做錯的事情所引起）

資訊安全－結構

資訊安全不是強調產品的建置，重點在於安全之需求及管理（安全機制代表品質，也代表著企業文化）

名詞定義：

資訊安全Information security
－保持資訊的保密性、完整性和可用性。

風險評估Risk assessment
－對資訊和資訊處理設施的威脅、影響和脆弱點及三者發生之可能性評估。

風險管理Risk management
－以可接受的成本來鑑別、控制、降低或消除可能影響資訊系統的安全風險之過程。

機密性Confidentiality
－確保資訊僅可讓被授權的人員存取。

完整性Integrity
－保護因非授權所造成的損害，保護資訊和流程方法的準確和完善（含備份後之完整）。

可用性Availability
－資訊是可用的，確保被授權的人需要時可以獲取資訊和相關的資產。