为了更好地理解信息安全管理,必须熟悉一个组织机构有价值的关键信息的特性。先前提到的C.I.A.三角首先提供了个这种特性(机密性、完整性和可用性)。
机密性
信息的机密性确保了只有那些有足够权限并且经证实有这个需要的人,才能够访问该信息。如果未经授权的个体或系统也可以访问该信息,机密性就不复存在了。为了保护信息的机密性,我们采取了一系列措施,包括:
、信息分类
2、确保文档存储安全
、运用一般的安全策略
、对信息所有者和终端用户进行教育
5、使用密码技术
机密性与信息的另一个关键特性--隐私(将在本章的后面介绍)有着密切的关系,这两种特性之间的复杂关系将在第1 1章详细讨论。
在某个组织机构内部,对于个人信息(包括雇员信息、客户信息或者病人信息) 来说机密性显得特别重要,人们希望这些信息会得到机构的严密保护。当机密信息泄漏时,无论这个机构是一个联邦机构、商业机构、还是一个非营利慈善机构,问题都会随之而来。蓄意或失误都可能导致泄密事件的发生。例如,在发送电子邮件时,机密信息可能会被错误地发送给机构外部的人;或者,某个雇员未经销毁就丢弃了一份包含重要信息的文件;又或者某个黑客成功地侵入了一个基于网络的机构内部数据库,并窃取了客户的敏感信息,比如名字、住址或信用卡信息。