信息是一种资产,就像其它重要的企业资产依样,对组织具有价值,因此需要受到适当的保护。
信息的类型
书写或打印于纸上
储存在电子媒体上
以邮寄或电子储存媒体传输
显示于企业影片上
言语-在对话中提出
不管信息的形式是什么,或者共享或储存的方式是什么,都应该受到适当的保护。
信息安全
保护信息的机密性、完整性与可用性;另外,亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。
机密性(Confidentiality)
信息不可被未经授权之个人、实体、流程所取得或揭露之特性。
完整性(Integrity)
保护资产准确性和完整性之特性。
可用性(Avaliability)
基于需要可由授权者存取及使用之特性。
关键的成功因素(Critical success factors) 经验显示,组织的信息安全能否成功实施,下列常为关键因素:
能反映营运目标的信息安全政策、目标及活动。
与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。
来自所有管理阶层的实际支持和承诺。
对信息安全要求、风险评鉴以及风险管理的深入了解。
向全体管理人员、受员、及相关人员有效推广信息安全以达到认知。
资助信息安全管理活动。
提供适切的认知、训练及教育。
制定有效的信息安全事故管理过程。
实施ㄧ个用于评估ISMS的绩效及改进的回馈建议之量测系统。