什么是信息安全

引言

引言共分8节。

0.1 什么是信息安全。本小节中区别于术语和定义中的对于“信息安全”的晦涩定义，对信息安全给出了比较清晰的说明。

0.2 为什么需要信息安全。

0.3如何建立安全要求。在本节中认为安全要求主要有三个来源：

a) -个来源是通过组织进行风险的评估获得，并考虑到组织整体业务战略和目标。 通过风险评估，识别出资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。

b)另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境。

c)第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。

0.4评估安全风险。详细见4.1评估安全风险。

0.5选择控制措施。详细见4.2处置安全风险。

0.6信息安全起点。许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律性要求，或者被认为是信息安全的常用惯例。