信息安全视角之商业视角二

2)可遵循的资产保护

我们要保护什么？这是很多商业机构经常会提出的问题。我们有什么？我们用他来做什么？我们需要保护他们吗？这些非常通俗的提问对于每一个管理者而言却很难得到一个准确的答案。适度保护以实现可衡量的经济价值，在商业信息化保护中形成了一个矛盾。没有绝对的安全，但是，在安全事件降临时，我们优先保护什么？我们所保护的资产是组织的核心资产吗？在一个合理的成本情况下，我们需要放弃什么？成为考核一个组织应对业务连续性管理时的一个首要问题。

3)合规性

可以把合规性理解为两个层面的问题：法律法规的合规，如知识产权侵犯，符合法律的网络监控行为和数据出口行为；另一个层面是标准的合规性，如第三方支付卡业务所需要的PCI-DSS；政府、国企所需要的信息安全等级保护等等标准规范文件。商业组织的运行离不开合规性的保护和约束，所以商业组织必须选择适合自己的合规性规约，才能低成本高质量的产品。

监管合规性描述了组织在努力确保他们意识到并采取措施遵守相关法律，政策和法规，同时明确希望实现的目标。由于法规的数量和对业务透明度的需求越来越多，各组织越来越多地采用统一和协调的合规控制系统。这种方法用于确保满足所有必要的治理要求，而不会造成不必要的重复工作和资源活动。

国际标准化组织( ISO)生产国际标准，国际电工委员会(International Electrotec,hnical Commission，IEC)在电工技术领域制定国际标准，如ISO／IEC 27002。一些本地或国际专业组织，如美国机械工程师协会（AmericanSociety of Mechanic,al Engineers，ASME）也制定标准和法规代码。因此，它们提供了广泛的规则和指令，以确保产品符合安全，安全或设计标准。还有一些适用于不同领域的其他法规，如PCI-DSS，GLBA，FISMA，联合委员会和HIPAA。在某些情况下，其他合格性框架（如COBIT）或标准(NIST)指导组织如何遵守这些规定。