信息本身是无形的，需借助媒介传播

对企业有价值的是资产，

信息安全目标   CIA   保密性   完整性   可用性

扩展目标    真实性   可追溯性  防抵赖

合规性和保护个人隐私

可用性  在允许时间范围内可用  

信息安全管理工作内容都包括哪些？

该如何开展？？

2013  14个方面

1、安全策略

2、组织信息安全

3、安全的核心内容：资产、访问控制、

4、人力资源安全

5、物理安全  逻辑安全 环境安全 操作安全  通信安全  系统的获取、开发和维护

2013版，114个控制措施。

信息：结组与各类媒体以多种形式存在或传播的数据、消息、情报、信号和知识。

信息资产：对于企业来说有价值的信息。

信息安全：

基本安全目标-CIA：保密性、完整性、可用性。

扩展安全目标（ISO/IEC 13335 etc.）：

真实性、可追溯性、抗抵赖、可靠性、合规性、保护个人隐私。

完整性是机密性和可用性的前提。

信息安全的实质：确保组织业务能够持续有效的运行。

信息安全管理内容框架

信息系统获取、开发与维护。

安全策略：各业务部门提出需求，领导层批准。

组织信息安全：整个组织统筹。

资产管理：按需

访问控制：身份识别、权限分配涉及各业务部门。