數據資源包括:由數字、字母以及其他字符組成,描述組織活動和其他事情的字母數字型數據;句子與段落組成的文本數據;圖形和圖表形式的圖像數據;記錄人與其他聲音的音頻數據。
滿足不同需求的、具有各種功能的信息系統構成了信息化社會的基礎,它提高了社會各個行業和部門的生產和管理效率,方便了人類的日常生活,推動了社會的發展前進。
(1)風險
信息安全風險產生的因素主要有信息系統自身存在的漏洞和來自系統外部的威脅。信息系統運行環境中存在具有特定威脅動機的威脅源,通過使用各種攻擊方法,利用信息系統的各種脆弱性,對信息系統造成壹定的不良影響,由此引發信息安全問題和事件。
(2)保障
信息安全保障就是針對信息系統在運行環境中所面臨的各種風險,制定信息安全保障策略,在策略指導下,設計並實現信息安全保障架構或模型,采取技術、管理等安全保障措施,將風險控制到可接受的範圍和程度,從而實現其業務使命。
(3)使命
描述了信息系統在設計、執行、測試、運行、維護、廢棄整個生命周期中運行的需求和目標。信息系統的使命與其安全保障密不可分,需要通過信息系統安全措施來保障目標的正確執行。隨著信息系統面臨的威脅及運行環境的變化,安全保障也需要提供相應的保障措施,從而保障信息系統的正確運行。
風險管理是信息安全保障工作的基本方法。信息安全保障應當以風險管理為基礎,針對可能存在的各種威脅和自身弱點,采取有針對性的防範措施。信息安全不是追求絕對的安全,追求的是可管控的安全風險。最適宜的信息安全策略就是最優的風險管理對策,這是壹個在有限資源前提下的最優選擇問題。信息系統防範措施不足會造成直接損失,會影響業務系統的正常運行,也會造成不良影響和損失。也就是說,信息安全保障的問題就是安全的效用問題,要從經濟、技術、管理的可行性和有效性上做出權衡和取舍。