信息的支持过程,系统和网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
而如今的组织及其信息系统和网络面临着包括计算器辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁,而其它类似计算器病毒、盗窃和服务器非法入侵破坏等已变得更加普遍,更加错综复杂。据统计表明80-90%公司的计算器犯罪是内部人干的。组织依靠信息系统和服务意味着更易受到安全威胁的破坏;公共和私人网络的互连及信息资源的共享增大了控制访问的难度;分布式计算器的趋势减弱了中央、专家控制的有效性……因此保护和防卫信息是很必要的。而由于许多信息系统并非在设计时就考虑了安全,依靠技术手段实现安全很有限,则应该由适当的管理和程序来支持。
信息安全管理是通过保证维护信息的机密性,完整性和可用性来管理和保护机构部门的所有的信息资产的一项体制。如果按要求的规范在设计阶段实行信息安全管理,还会降低成本,提高效率。
