精选优质文档-倾情为你奉上4.6 信息安全管理4.6.1 意图、目的和目标“信息安全管理的目标是使IT安全与业务安全保持一致以保证在所有的服务和服务管理活动中有效地管理信息安全。”需要在公司治理框架内考虑信息安全管理。公司治理是由提供战略方向的董事会和高级管理层执行的责任和实践的集合,为的是保证达到目标、确认风险得到恰当地管理和核查企业资源得到有效利用。信息安全是一项在公司治理框架内的管理活动,为安全活动提供战略方向和保证达到目标。它进一步保证信息安全风险得到恰当地管理和企业信息资源得到合理地利用。信息安全管理的目的是关注IT安全的所有方面和管理所有的IT安全活动。名词“信息”通常是个泛称,包括数据存储、数据库和元数据。信息安全的目标是依托信息、系统和传递信息的通信包含其利益,避免不可用、泄密和不完整所导致的损害。对于绝大多数组织,当出现如下情况时,可以达到安全目标:n 当需要的时候,信息是可用的并且能用的,提供信息的系统能够恰当地抵抗攻击、阻止失败或从失败中恢复(可用性)n 信息只对有权限的人是公开的(机密性)n 信息是完全的、准确
