广义的信息安全是一个跨学科领域的安全问题。
首先,安全的根本目的是保证组织业务可持续性运行,保证利益相关者生命、财产安全的延续。构成业务可持续性问题的不仅仅是信息技术,还包括与业务相关联的生产、财务、 人力资源、行政以及供应链等一系列的问题。在传统的意识中,不同的环节关注不同的元素,每个控制都只考虑本领域的控制问题,这使得安全本身被划分在不同的领域,如:生产安全、财务安全、人员安全等,但其本质是相同的。安全应该被相互融合以构成立体化的安全保障。
其次,信息安全应该建立在整个生命周期中所关联的人、事、物的基础上,综合考虑人、技术、管理和过程控制,使得信息安全不是一个局部而是一个整体。随着信息安全事件的泛滥和扩大,组织越来越意识到信息安全问题不仅仅是在某个阶段的问题,更不是纯粹的技术问题。历史事件表明,单纯地从某个层次考虑安全问题往往会带来致命的损害。
第三,安全要考虑成本因素。财务成本是信息安全必须要考虑的问题,正如我们不会用价值数十万的保险箱去保管面值10元的货币一样。安全的成本该如何考核呢?首要的问题应该是作为安全管理人员,必须清晰地了解组织的资产财务成本、价值以及组织利用信息技术带来的收益情况。随着互联网的普及和发展,信息技术已经开始为组织带来直接的经济收益,例如腾讯、百度、阿里等互联网公司,以及更多的依托互联网产业发展的P2P、020、 02B、移动互联网等产业也迅速发展起来。保护的成本必须和保护的资产价值形成有效的比率,这是财务风险中至关重要的一个环节。
第四,随着对信息化的依赖,信息系统所维系的不仅仅是业务的支撑和辅助,而是业务的命脉。WEB2.0和互联网+的深入落实,整个业务被紧紧绑在信息系统之上,没有信息安全也就没有业务安全,业务流程本身的缺陷会直接导致信息安全问题的产生,而大量的业务绕行也为未授权的内部人员以及恶意外部人员所利用,因此,信息安全的管理者和操作者在实现安全的控制前提下,必须了解业务及流程,保障其最终所应该实现的业务安全。