ISO对信息安全的定义：

“为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄漏”

信息安全问题的根源：

内因：信息系统复杂性导致漏洞的存在不可避免

外因：环境因素、人为因素

3个月查询成绩、3个月拿证书、3个月查询到证书

信息安全：保障-10%分数

cyber space security网络空间安全

国家、企业、个人信息安全

信息：数据载体

信息特性：有意义、无形的

ISO对信息安全的定义（考点）

安全目标（依据：合规性、业务系统使命、风险评估）

信息安全体系：有目标、持续改进、遵循PDCA循环

管理工作：

1、建立安全策略

2、实现安全策略

3、评估

控制措施类型：技术、管理、物理

物理：以一己之力延迟犯罪（安保人员、指纹锁）

管理：引导作用

控制措施作用：威慑、预防、检测、纠正、恢复、补偿

生命周期：创建、使用、存储、传递、更改、销毁

销毁：正确销毁、真正销毁

信息安全属性：CIA-机密性、完整性、可用性、其他属性：真实性、可问责性、不可否认性、可靠性

信息安全责任：职责、责任、义务

信息安全问题：

  有责任人（决策层是最终责任人）

  根本目标保障业务连续性

  安全是自上而下运行

  考虑成本、适度安全

  技术、管理并重（7分管理、3分技术）

信息安全根源（考点）：

  内因-漏洞（脆弱性）

  外因-威胁（环境因素、人为因素）

威胁利用漏洞形成风险