8.1.2 企业信息安全目标
企业信息系统是现代企业正常运营的重要支撑,企业信息安全主要是信息系统安全。企业信息系统最基本的安全目标是:通过实施一组合适的控制措施,包括策略、过程、规程、组织结构以及软件和硬件功能,在必要时建立、实施、监视和改进这些控制措施,以确保业务连续性,达到业务风险最小化,投资回报和商业机遇最大化的目标。
信息安全是要“保持信息的保密性、完整性、可用性;另外也可包括真实性、可核查性、不可否认性和可靠性等”(引自GB/T 22080-2008/ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要求》3.4条款)。
(1)保密性(confidentiality)。信息不能被未授权的个人、实体或者过程利用或知悉的特性。
(2)完整性(integrity)。保护资产的准确和完整的特性。
(3)可用性(availability)。根据授权实体的要求可访问和利用的特性。
(4)真实性(authenticity)。认证主体或资源的身份是所声称的身份特性。
(5)可核查性(accountability)。确保可将一个实体的行动唯一的追踪到此时体的特性。
(6)不可否认性(non - repudiation)。证实某个活动或事件已经发生,使得事后无法否认的特性。
(7)可靠性(reliability)。与预期行为和结果相一致的特性。