引言
引言共分8节。
0.1 什么是信息安全。本小节中区别于术语和定义中的对于“信息安全”的晦涩定义,对信息安全给出了比较清晰的说明。
0.2 为什么需要信息安全。
0.3如何建立安全要求。在本节中认为安全要求主要有三个来源:
a) -个来源是通过组织进行风险的评估获得,并考虑到组织整体业务战略和目标。 通过风险评估,识别出资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响。
b)另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境。
c)第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。
0.4评估安全风险。详细见4.1评估安全风险。
0.5选择控制措施。详细见4.2处置安全风险。
0.6信息安全起点。许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律性要求,或者被认为是信息安全的常用惯例。