国际标准化组织 (ISO) 是一个独立的非政府组织，是全球最大的自愿性国际标准开发者联盟。 国际电工委员会 (IEC) 是世界领导组织，负责制定和发布有关电气、电子和相关技术领域的国际标准。

ISO/IEC 27000 系列标准由 ISO/IEC 联合小组委员会发布，概述了数百个控制措施和控制机制，以帮助所有类型和规模的组织确保信息资产安全。 这些全球标准针对政策与流程提供了一个框架，其中包括所有与组织信息风险管理流程相关的法律、物理和技术控制措施。

ISO/IEC 27001 是一个正式规范信息安全管理体系 (ISMS) 的安全标准，旨在通过明确的管理控制实现信息安全。 作为正式规范，它规定了定义如何实施、监控、维护及不断改进 ISMS 的各项要求。 此外，其中还规定了一系列最佳实践，包括文档编制要求、责任划分、可用性、访问控制、安全性、审核，以及纠正和预防措施。 通过 ISO / IEC 27001 认证，有助于组织遵守与信息安全有关的各种法规及法律要求。

信息安全管理体系ISMS（Information SecurITry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

信息安全管理体系（ISMS）是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立需要基于系统、全面、科学的安全风险评估。ISMS体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制费用与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。

信息安全的范围是非常广泛的，首先我们查看一下信息安全在ISO/IEC27001:2005信息安全管理体系的术语当中是怎么定义的。

在ISO27001:2013标准中将信息安全定义为：保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可控制性、不可抵赖性可靠性、防抵赖性。

信息安全的相关属性：

保密性：保障信息仅仅为那些被授权使用的人所获取。保证信息不被非授权访问；即使非授权用户得到信息也无法知晓信息内容或不明白信息内容的含义，因而不能使用。

完整性：保护信息及其处理方法的准确性和完整性。保证数据的一致性，防止数据被非法用户篡改。一方面它指在信息使用、传输、存储的过程中不发生篡改、丢失、错误；另一方面是指信息处理方法的正确性。

可用性：保障授权使用人在需要时可以获取和使用信息。保证合法用户对信息和资源的使用不会被不正当地拒绝。

真实性：对信息的来源进行判断，能对伪造来源的信息，信息安全相关书籍予以鉴别。

不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。

可控制性：对信息的传播及内容具有控制能力。授权机构对信息的内容及传播具有控制能力，可以控制授权范围内的信息流向及其方法。

可审查性：对出现的网络安全问题提供调查的依据和手段。在信息交流过程结束后，通过双方不能抵赖曾经做出的行为，也不能否认曾经接受到对方的信息。

信息安全事件（Event）的定义：信息安全事件是指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效；或以前未知的与安全相关的情况。

信息安全事故（Incident）的定义：信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。

信息安全的重要性：信息安全是任何一个国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略问题。但是，对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的。 对于政府、金融、电信和科研机构信息安全尤为重要。

信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。

根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。其根本目的就是使内部信息不受外部威胁，因此信息通常要加密。为保障信息安全，要求有信息源认证、访问控制，不能有非法软件驻留，不能有非法操作。实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。

信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信 息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安 全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。

总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。