CISP/03_第三章 信息安全管理/3.1 信息安全管理基础.md

# 信息安全管理基础

> **一、基本概念**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>信息、信息安全管理、信息安全管理体系等基本概念。
>
> **二、信息安全管理的作用及对组织的价值**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>信息安全管理的作用，对组织内部和组织外部的价值。

### 一、基本概念

#### 1、信息

- 信息是关于客观事实的可以通讯的知识，具有如下特征：
  1. 信息是客观世界中各种食物的特征的反应；
  2. 信息是可以进行交换的，而且随着交换而增值（信息不属于一般等价物）；
  3. 信息是可以形成知识的，而知识可以创造价值。

- **企业**：对用户的信息保护成为新的关注点；
- **用户**：用户将安全作为选择服务的重要依据之一；
- **攻击者**：不起眼的数据对攻击者可能价值很高，倒逼企业和个人更关注信息安全。

#### 2、信息安全管理

- 信息安全管理是组织管理体系的一个重要环节

#### 3、信息安全管理体系

- **组织管理体系的一部分**

- **基于风险评估和组织风险接受水平**

- **信息安全管理的国际标准：ISO 27001**

  - ISO 27001：2005

    > GB/T 22080-2008

  - ISO 27001：2013【14个控制域、35个控制目标、114个控制措施】

    > GB/T 22080-2016

  - ISO 27001：2022（2022年10月25日正式发布实施）

- **标准的采用方式**

  1. 等同采用（照着抄）
  2. 等效采用

### 二、信息安全管理的作用及对组织的价值

#### 1、信息安全管理的作用

- 信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障
- 信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用
- 信息安全管理能<span style="color:red;">预防</span>、<span style="color:red;">阻止</span>或<span style="color:red;">减少</span>信息安全事件的发生

![image-20240912113655746](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240912113655746.png) 

#### 2、对组织的价值

- 对内
- 对外