企业信息安全目标

8.1.2  企业信息安全目标

企业信息系统是现代企业正常运营的重要支撑，企业信息安全主要是信息系统安全。企业信息系统最基本的安全目标是：通过实施一组合适的控制措施，包括策略、过程、规程、组织结构以及软件和硬件功能，在必要时建立、实施、监视和改进这些控制措施，以确保业务连续性，达到业务风险最小化，投资回报和商业机遇最大化的目标。

信息安全是要“保持信息的保密性、完整性、可用性；另外也可包括真实性、可核查性、不可否认性和可靠性等”（引自GB/T 22080-2008/ISO/IEC27001：2005《信息技术安全技术信息安全管理体系要求》3.4条款）。

(1)保密性(confidentiality)。信息不能被未授权的个人、实体或者过程利用或知悉的特性。

(2)完整性(integrity)。保护资产的准确和完整的特性。

(3)可用性(availability)。根据授权实体的要求可访问和利用的特性。

(4)真实性(authenticity)。认证主体或资源的身份是所声称的身份特性。

(5)可核查性(accountability)。确保可将一个实体的行动唯一的追踪到此时体的特性。

(6)不可否认性(non - repudiation)。证实某个活动或事件已经发生，使得事后无法否认的特性。

(7)可靠性(reliability)。与预期行为和结果相一致的特性。