《信息安全治理的定义.docx》由会员分享,可在线阅读,更多相关《信息安全治理的定义.docx(3页珍藏版)》请在三一办公上搜索。
1、信息安全治理的定义安全涉及保护有价值的资产不被遗失、滥用、泄露或者损害。我们此处的“有价值的资产”特指从电子媒介上记录、处理、存储、共享、传送和接受的信息。信息必须保护不被导致不同类型的弱点如损失、不能访问、改变和故意泄露的威胁的损害,这些威胁包括错误、遗漏、欺诈、意外和故意损害。相应的保护是一系列分级的技术和非技术的安全措施,如物理安全措施、背景审查、用户识别、密码保护、智能卡、生物测定和防火墙。这些措施将确定信息系统的弱点和面临的威胁。在不断变化的技术环境中,今天最好的安全措施在明天可能过时。安全措施必须紧跟这些变化,必须被作为系统开发生命周期过程整体的一部分加以考虑,并在过程的每一阶段明
2、确定位。有效的安全需要主动及时的制度安排。信息安全的目标是“保护依靠信息的人、系统和传输信息的通讯系统不受损害,这种损害来源于信息可用性、机密性和完整性的失效”。目前新出现的定义又增加信息有效性和占有性之类的概念后者与偷窃、欺诈和舞弊相对应网络经济当然增加了电子交易信用和责任的需要。依据国际上一般公认的准则,对大部分组织来说,满足安全目标必须做到:可用性:信息在需要时可用和有用,提供信息的系统能适当地承受攻击并在失败时恢复;保密性:信息只能被有相应权限的人看到,或透露给他们;完整性:未经授权,信息不能被修改;真实性和不可否认性:组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。可用性、
3、保密性、完整性、真实性和不可否认性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境的不同而不同,例如,当信息影响与战略相关的关键决策时,管理信息的完整性就特别重要。根据国际会计师联合会发布的管理信息和通讯系统风险国际指南第一号报告管理信息安全,与信息安全相关的6个主要活动是:政策制定使用安全目标和核心原理作为框架,围绕这个框架制定安全政策;角色和责任确保每个人清楚知道和理解各自的角色、责任和权力;设计开发由标准、评测措施、实务和规程组成的安全与控制框架;实施适时应用方案,并且维护实施的方案;控制建立控制措施,查明安全隐患,并确保其得到改正;安全意识,培训和教育安全意识的养成,宣贯保护信息的必要性,提供安全运作信息系统所需技巧的培训,提供安全评估和实务教育。最后一点还要加上激励,因为人们可能有这种有意识,但需要激发其行动。然而,制定一项政策,使人们接受它,然后希望每个人遵守这项政策的日子已一去不复返了。风险出现的速度和变化的速度需要一种不同于以前的、连贯的方法,我们称之为测试和修补。它通过执行安全管理职能,提高防卫能力和完善政策建立安全机制,来连续地监控和测试基础设施和环境的隐患和响应速度,新兴的信息安全方法就像门卫在晚上穿行走廊,检查门把柄来了解房间的安全状况。如果有人认为技术能够解决安全性问题,那么他就不理解安全性问题,也不理解技术。
