(1)信息安全管理体系的范围界定
本文提出的信息安全等同于信息系统安全。
信息系统由信息技术系统、系统运行环境和信息。
① 信息技术系统
信息技术系统,作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。包括:计算机软硬件网络基础设施、
系统平台、通信操作平台。
② 系统运行环境
系统运行环境,指系统运行过程中所处的内部和外部的环境,包括人、管理以及物理环境。信息系统是在信息技术系统的基础之上,综合考虑了人员、管理等系统综合运行环境的一个整体。
③ 信息
信息,是信息系统安全保障体系所要保护的对象,包括信息技术系统装载的有价值电子数据、元信息(结构、代码、计算密钥)。
(2)信息安全的属性
美国联邦标准 1037C(1997)定义信息安全为“保护信息有意或无意地被非授权泄露、传输、修改或破坏”。ISO17799 定义信息安全为“保护信息免于威胁并保证组织业务连续运作,使组织业务风险最小,成本效益最大化”。
关于信息安全的属性,不同的组织提出了不同的观点。
ISO 17799,定义信息安全属性为“保密性、完整性和可用性(Information security is characterized here as the preservation of confidentiality,integrity and availability)”
① 保密性:确保只有被授权的人才可以访问信息;
② 完整性:确保信息和信息处理方法的及时性、准确性和完整性;
③ 可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。
ISO 13335-1,定义信息安全属性为“机密性、完整性、可用性、不可否认性、可审计性、真实性和可靠性”。
① 机密性:正确保护信息不被非授权个人、实体使用和处理;
② 完整性:正确保护数据不被非授权的更改和损坏;
③ 可用性:授权实体能够正确访问和使用信息;
④ 不可否认性:能够证实发生的任何行为和事件,使其不可否认;
⑤ 可审计性:保证记录实体的行为,并具有唯一性;
⑥ 真实性:保证主体或资源的真实性;
⑦可靠性:保证行为和结果的一致性。
认为信息安全的基本属性就是机密性、完整性和可用性(C.I.A三角),虽然 ISO13335-1 中把信息安全属性扩展为机密性、完整性、可用性、不可否认性、可审计性、真实性和可靠性,但扩展的四个属性:不可否认性、可审计性、真实性和可靠性都可被 包含于机密性、完整性和可用性三个基本属性中,不可否认性、可审计性和真实性可包含于完整性中,可靠性可包含于可用性中。
在认证领域内,立标顾问拥有的审核团队,其中大多数审核员拥有多标准资质。这一庞大的多技能审核员队伍意味着立标能够同时在全国不同的地点处理多标准审核,加快合规保证过程,使您的项目无忧管理。
共有条评论 网友评论