1. 信息与信息安全
信息:数据/信息流
信息安全:
保密性(Confidentiality):只有授权用户可以获取信息
完整性(Integrity):信息在输入和传输过程中不被非法授权、修改和破坏,保证数据的一致性。
可用性(Availability):保证合法用户对信息和资源的使用不会被不正当的拒绝。
上述三个基本安全属性称为“CIA”。
2. 安全漏洞的影响
1.声誉损失 2.财务损失 3.知识产权损失 4.失去客户的信任 5.业务中断
这所有最终会造成信誉损失。
3.信息安全
信息安全是“组织问题”不是“IT问题”,超过70%的威胁是内部,超过60%的罪魁祸首是初次欺诈和讹骗活动。最大的风险和资产都是人。
社会工程是最大威胁,利用人性弱点而非技术漏洞。
4. IATF——深度防御保障模型
IATF阐述了系统工程、系统采购、风险管理、认证和鉴定、以及生命周期、支持等过程。
5. 信息安全管理的作用
保险柜就一定安全吗?
技术措施需要配合正确的使用才能发挥作用。
根本上说,信息安全是个管理的过程,而不是技术过程,技术不高但管理良好的系统远比技术高但管理混乱的系统安全。
“三分技术,七分管理”
6. 信息安全管理体系(ISMS)
是一种常见的对组织信息安全进行全面、系统管理的方法。
ISMS是由ISO27000定义的一种有关信息安全的管理体系,是一种典型的基于风险管理与过程方法的管理体系。周期性的风险评估,内部审核,有效性测量,管理评审是ISMS规定的四个必要活动,能确保ISMS进入良性循环,持续自我改进。
