02-02-01 信息安全框架

1. 信息与信息安全

信息：数据/信息流
信息安全：
保密性（Confidentiality）：只有授权用户可以获取信息
完整性（Integrity）：信息在输入和传输过程中不被非法授权、修改和破坏，保证数据的一致性。
可用性（Availability）：保证合法用户对信息和资源的使用不会被不正当的拒绝。
上述三个基本安全属性称为“CIA”。

2. 安全漏洞的影响

1.声誉损失 2.财务损失 3.知识产权损失 4.失去客户的信任 5.业务中断
这所有最终会造成信誉损失。

3.信息安全

信息安全是“组织问题”不是“IT问题”，超过70%的威胁是内部，超过60%的罪魁祸首是初次欺诈和讹骗活动。最大的风险和资产都是人。
社会工程是最大威胁，利用人性弱点而非技术漏洞。

4. IATF——深度防御保障模型

IATF阐述了系统工程、系统采购、风险管理、认证和鉴定、以及生命周期、支持等过程。

5. 信息安全管理的作用

保险柜就一定安全吗？
技术措施需要配合正确的使用才能发挥作用。
根本上说，信息安全是个管理的过程，而不是技术过程，技术不高但管理良好的系统远比技术高但管理混乱的系统安全。
“三分技术，七分管理”

6. 信息安全管理体系（ISMS）

是一种常见的对组织信息安全进行全面、系统管理的方法。
ISMS是由ISO27000定义的一种有关信息安全的管理体系，是一种典型的基于风险管理与过程方法的管理体系。周期性的风险评估，内部审核，有效性测量，管理评审是ISMS规定的四个必要活动，能确保ISMS进入良性循环，持续自我改进。