保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了 39个控制目标及134项控制措施，推行27001: 2005标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与130/11 27001相辅的130 17799：（文章来源 海口企业网站建设www.hisoSi.com） 2005标准是信息安全管理的实务守则，为如何推行控制措施提供指引。

目前，信息安全是研究的热点问题，各种信息安全技术和产品层出不穷，如密码、身份鉴别、防火墙、人侵检测、隔离防护、防病毒等，不胜枚举。然而，当前从系统角度对信息系统安全的研究还比较欠缺。所有的信息安全技术都是为了达到一定的安全目标，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。

0保密性是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户不能够获取敏感信息。对纸质文档信息，我们只需要保护好文件，不被非授权者接触即可。而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读，也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄露。

2 完整性扣斤）是指防止信息被未经授权的篡改。它是保护信息保持原始的状态，使信息保持其真实性。如果这些信息被蓄意地修改、插人、删除等，形成虚假信息，将带来严重的后果。

3〉可用性〔办）是指授权主体在需要信息时能及时得到服务的能力。它是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。

4〉可控性办）是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。

5〉不可否认性 011 165）11（11 011 是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

除了上述的信息安全五性外，还有信息安全的可审计性（人11（1丨血1办〉、可鉴别性〈&办）等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比，可审计性的含义更宽泛一些。信息安全的可鉴别性是指信息的接收者能对信息的发送者的身份进行判定，它也是一个与不可否认性相关的概念。

为了达到信息安全的目标，各种信息安全技术的使用必须遵守以下基本原则。

0最小化原则。受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要，仅被授予其访问信息的适当权限，称为最小化原则。最小化原则可以细分为知所