信息安全管理基本概念
2018-03-29 15:45:58 | 来源:中培企业IT培训网
5.1 知识子域:信息安全管理体系
5.1.1 信息安全管理基础
1.信息安全管理基本概念
1)管理
管理主体组织并利用其各个要素(人、财、物、信息和时空),借助管理手段,完成该组织目标的过程。其中,信息就像其他重要业务资产和管理要素一样,也是对组织业务至关重要的一种资产,因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中。
信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在,用哪种方法存储或共享,都宜对它进行适当地保护。信息安全是保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。
2)信息安全管理
管理者为实现信息安全目标(信息资产的CIA等特性,以及组织目标运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动。通过实施一组合适的控制措施而达到的组织的目标,其中包括制定策略、审定过程、编制规程、设计组织结构以及开发必要的软件和硬件安全功能。在必要时需建立、实施、监视、评审和改进包含这些控制措施的信息安全管理过程,以确保满足该组织的特定安全和业务目标。这个过程宜与其他业务管理过程联合进行。
- 上一篇:灾难标准之行业标准
- 下一篇:信息安全管理的作用一