信息安全的含义

来源:兴方圆认证网   责任编辑:小沈   更新时间:2015-11-05   浏览:

兴方圆报道:(1)信息安全的范围界定

本文提出的信息安全等同于信息系统安全。

信息系统由信息技术系统、系统运行环境和信息。

① 信息技术系统

信息技术系统,作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。包括:计算机软硬件网络基础设施、

系统平台、通信操作平台。

② 系统运行环境

系统运行环境,指系统运行过程中所处的内部和外部的环境,包括人、管理以及物理环境。信息系统是在信息技术系统的基础之上,综合考虑了人员、管理等系统综合运行环境的一个整体。

③ 信息

信息,是信息系统安全保障体系所要保护的对象,包括信息技术系统装载的有价值电子数据、元信息(结构、代码、计算密钥)。

(2)信息安全的属性

美国联邦标准 1037C(1997)定义信息安全为“保护信息有意或无意地被非授权泄露、传输、修改或破坏”。ISO17799 定义信息安全为“保护信息免于威胁并保证组织业务连续运作,使组织业务风险最小,成本效益最大化”。

关于信息安全的属性,不同的组织提出了不同的观点。

ISO 17799,定义信息安全属性为“保密性、完整性和可用性(Information security is characterized here as the preservation of confidentiality,integrity and availability)”

① 保密性:确保只有被授权的人才可以访问信息;

② 完整性:确保信息和信息处理方法的及时性、准确性和完整性;

③ 可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。

ISO 13335-1,定义信息安全属性为“机密性、完整性、可用性、不可否认性、可审计性、真实性和可靠性”。

① 机密性:正确保护信息不被非授权个人、实体使用和处理;

② 完整性:正确保护数据不被非授权的更改和损坏;

③ 可用性:授权实体能够正确访问和使用信息;

④ 不可否认性:能够证实发生的任何行为和事件,使其不可否认;

⑤ 可审计性:保证记录实体的行为,并具有唯一性;

⑥ 真实性:保证主体或资源的真实性;

⑦可靠性:保证行为和结果的一致性。

认为信息安全的基本属性就是机密性、完整性和可用性(C.I.A三角),虽然 ISO13335-1 中把信息安全属性扩展为机密性、完整性、可用性、不可否认性、可审计性、真实性和可靠性,但扩展的四个属性:不可否认性、可审计性、真实性和可靠性都可被 包含于机密性、完整性和可用性三个基本属性中,不可否认性、可审计性和真实性可包含于完整性中,可靠性可包含于可用性中。


上一篇:ISO27001信息安全风险的含义和特征

下一篇:ISO27001标准的术语和定义解析

漳州认证网

认证咨询流程

    认证咨询流程