信息安全的含义

信息安全管理体系

您当前所在位置：首页 > 常见问题&知识园地 > 信息安全管理体系

发布时间： 2019-04-26 11:13:13

（1）信息安全的范围界定

本文提出的信息安全等同于信息系统安全。

信息系统由信息技术系统、系统运行环境和信息。

① 信息技术系统

信息技术系统，作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。包括：计算机软硬件网络基础设施、系统平台、通信操作平台。

② 系统运行环境

系统运行环境，指系统运行过程中所处的内部和外部的环境，包括人、管理以及物理环境。信息系统是在信息技术系统的基础之上，综合考虑了人员、管理等系统综合运行环境的一个整体。

③ 信息

信息，是信息系统安全保障体系所要保护的对象，包括信息技术系统装载的有价值电子数据、元信息（结构、代码、计算密钥）。

（2）信息安全的属性

美国联邦标准1037C（1997）定义信息安全为“保护信息有意或无意地被非授权泄露、传输、修改或破坏”。ISO17799 定义信息安全为“保护信息免于威胁并保证组织业务连续运作，使组织业务风险最小，成本效益最大化”。

关于信息安全的属性，不同的组织提出了不同的观点。

ISO 17799，定义信息安全属性为“保密性、完整性和可用性（Information security is characterized here as the preservation of confidentiality，integrity and availability）”

① 保密性：确保只有被授权的人才可以访问信息；

② 完整性：确保信息和信息处理方法的及时性、准确性和完整性；

③ 可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。

ISO 13335-1，定义信息安全属性为“机密性、完整性、可用性、不可否认性、可审计性、真实性和可靠性”。

① 机密性：正确保护信息不被非授权个人、实体使用和处理；

② 完整性：正确保护数据不被非授权的更改和损坏；

③ 可用性：授权实体能够正确访问和使用信息；

④ 不可否认性：能够证实发生的任何行为和事件，使其不可否认；

⑤ 可审计性：保证记录实体的行为，并具有唯一性；

⑥ 真实性：保证主体或资源的真实性；

⑦可靠性：保证行为和结果的一致性。

认为信息安全的基本属性就是机密性、完整性和可用性（C.I.A三角），虽然 ISO13335-1 中把信息安全属性扩展为机密性、完整性、可用性、不可否认性、可审计性、真实性和可靠性，但扩展的四个属性：不可否认性、可审计性、真实性和可靠性都可被包含于机密性、完整性和可用性三个基本属性中，不可否认性、可审计性和真实性可包含于完整性中，可靠性可包含于可用性中。

返回上一级