國際標準化組織 (ISO) 是一個獨立的非政府組織，是全球最大的自愿性國際標準開發者聯盟。 國際電工委員會 (IEC) 是世界領導組織，負責制定和發布有關電氣、電子和相關技術領域的國際標準。

ISO/IEC 27000 系列標準由 ISO/IEC 聯合小組委員會發布，概述了數百個控制措施和控制機制，以幫助所有類型和規模的組織確保信息資產安全。 這些全球標準針對政策與流程提供了一個框架，其中包括所有與組織信息風險管理流程相關的法律、物理和技術控制措施。

ISO/IEC 27001 是一個正式規范信息安全管理體系 (ISMS) 的安全標準，旨在通過明確的管理控制實現信息安全。 作為正式規范，它規定了定義如何實施、監控、維護及不斷改進 ISMS 的各項要求。 此外，其中還規定了一系列最佳實踐，包括文檔編制要求、責任劃分、可用性、訪問控制、安全性、審核，以及糾正和預防措施。 通過 ISO / IEC 27001 認證，有助于組織遵守與信息安全有關的各種法規及法律要求。

信息安全管理體系ISMS（Information SecurITry Management Systems）是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是基于業務風險方法，來建立、實施、運行、監視、評審、保持和改進組織的信息安全系統，其目的是保障組織的信息安全。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。

信息安全管理體系（ISMS）是一個系統化、程序化和文件化的管理體系，屬于風險管理的范疇，體系的建立需要基于系統、全面、科學的安全風險評估。ISMS體現預防控制為主的思想，強調遵守國家有關信息安全的法律法規，強調全過程和動態控制，本著控制費用與風險平衡的原則，合理選擇安全控制方式保護組織所擁有的關鍵信息資產，確保信息的保密性、完整性和可用性，從而保持組織的競爭優勢和業務運作的持續性。

信息安全的范圍是非常廣泛的，首先我們查看一下信息安全在ISO/IEC27001:2005信息安全管理體系的術語當中是怎么定義的。

在ISO27001:2013標準中將信息安全定義為：保護信息的保密性、完整性、可用性及其他屬性，如：真實性、可核查性、可控制性、不可抵賴性可靠性、防抵賴性。

信息安全的相關屬性：

保密性：保障信息僅僅為那些被授權使用的人所獲取。保證信息不被非授權訪問；即使非授權用戶得到信息也無法知曉信息內容或不明白信息內容的含義，因而不能使用。

完整性：保護信息及其處理方法的準確性和完整性。保證數據的一致性，防止數據被非法用戶篡改。一方面它指在信息使用、傳輸、存儲的過程中不發生篡改、丟失、錯誤；另一方面是指信息處理方法的正確性。

可用性：保障授權使用人在需要時可以獲取和使用信息。保證合法用戶對信息和資源的使用不會被不正當地拒絕。

真實性：對信息的來源進行判斷，能對偽造來源的信息，信息安全相關書籍予以鑒別。

不可抵賴性：建立有效的責任機制，防止用戶否認其行為，這一點在電子商務中是極其重要的。

可控制性：對信息的傳播及內容具有控制能力。授權機構對信息的內容及傳播具有控制能力，可以控制授權范圍內的信息流向及其方法。

可審查性：對出現的網絡安全問題提供調查的依據和手段。在信息交流過程結束后，通過雙方不能抵賴曾經做出的行為，也不能否認曾經接受到對方的信息。

信息安全事件（Event）的定義：信息安全事件是指識別出的發生的系統、服務或網絡事件表明可能違反信息安全策略或防護措施失效；或以前未知的與安全相關的情況。

信息安全事故（Incident）的定義：信息安全事故是指一個或系列非期望的或非預期的信息安全事件，這些信息安全事件可能對業務運營造成嚴重影響或威脅信息安全。

信息安全的重要性：信息安全是任何一個國家、政府、部門、行業都必須十分重視的問題，是一個不容忽視的國家安全戰略問題。但是，對于不同的部門和行業來說，其對信息安全的要求和重點卻是有區別的。 對于政府、金融、電信和科研機構信息安全尤為重要。

信息作為一種資產，是企業或組織進行正常商務運作和管理不可或缺的資源。從最高層次來講，信息安全關系到國家的安全；對組織機構來說，信息安全關系到正常運作和持續發展；就個人而言，信息安全是保護個人隱私和財產的必然要求。無論是個人、組織還是國家，保持關鍵的信息資產的安全性都是非常重要的。信息安全的任務，就是要采取措施（技術手段及有效管理）讓這些信息資產免遭威脅，或者將威脅帶來的后果降到最低程度，以此維護組織的正常運作。

根據國際標準化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。其根本目的就是使內部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認證、訪問控制，不能有非法軟件駐留，不能有非法操作。實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。

信息安全是一個廣泛而抽象的概念，不同領域不同方面對其概念的闡述都會有所不同。建立在網絡基礎之上的現代信息系統，其安全定義較為明確，那就是：保護信 息系統的硬件、軟件及相關數據，使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統能夠連續、可靠、正常地運行。在商業和經濟領域，信息安 全主要強調的是消減并控制風險，保持業務操作的連續性，并將風險造成的損失和影響降低到最低程度。

總的來說，凡是涉及到保密性、完整性、可用性、可追溯性、真實性和可靠性保護等方面的技術和理論，都是信息安全所要研究的范疇，也是信息安全所要實現的目標。