1. 信息與信息安全

信息：數(shù)據(jù)/信息流
信息安全：
保密性（Confidentiality）：只有授權(quán)用戶可以獲取信息
完整性（Integrity）：信息在輸入和傳輸過程中不被非法授權(quán)、修改和破壞，保證數(shù)據(jù)的一致性。
可用性（Availability）：保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)木芙^。
上述三個(gè)基本安全屬性稱為“CIA”。

2. 安全漏洞的影響

1.聲譽(yù)損失 2.財(cái)務(wù)損失 3.知識產(chǎn)權(quán)損失 4.失去客戶的信任 5.業(yè)務(wù)中斷
這所有最終會造成信譽(yù)損失。

3.信息安全

信息安全是“組織問題”不是“IT問題”，超過70%的威脅是內(nèi)部，超過60%的罪魁禍?zhǔn)资浅醮纹墼p和訛騙活動(dòng)。最大的風(fēng)險(xiǎn)和資產(chǎn)都是人。
社會工程是最大威脅，利用人性弱點(diǎn)而非技術(shù)漏洞。

4. IATF——深度防御保障模型

IATF闡述了系統(tǒng)工程、系統(tǒng)采購、風(fēng)險(xiǎn)管理、認(rèn)證和鑒定、以及生命周期、支持等過程。

5. 信息安全管理的作用

保險(xiǎn)柜就一定安全嗎？
技術(shù)措施需要配合正確的使用才能發(fā)揮作用。
根本上說，信息安全是個(gè)管理的過程，而不是技術(shù)過程，技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高但管理混亂的系統(tǒng)安全。
“三分技術(shù)，七分管理”

6. 信息安全管理體系（ISMS）

是一種常見的對組織信息安全進(jìn)行全面、系統(tǒng)管理的方法。
ISMS是由ISO27000定義的一種有關(guān)信息安全的管理體系，是一種典型的基于風(fēng)險(xiǎn)管理與過程方法的管理體系。周期性的風(fēng)險(xiǎn)評估，內(nèi)部審核，有效性測量，管理評審是ISMS規(guī)定的四個(gè)必要活動(dòng)，能確保ISMS進(jìn)入良性循環(huán)，持續(xù)自我改進(jìn)。