03：如何理解信息安全？

发布时间：2011年06月15日点击数： 作者：孙强、孟秀转 来源：ITGov中国IT治理研究中心

【字体：小 大】 【收藏】 【打印文章】

摘要:
信息的机密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息。根据信息的重要程度和保密要求将信息分为不同密级。例如，军队内部文件一般分为秘密、机密和绝密三个等级，已授权用户根据所授予的操作权限可以对保密信息进行操作。有的用户只可以读取信息，有的用户既可以进行读操作有可以进行写操作。

03：如何理解信息安全？

ISO/IEC 27002对信息安全的理解：保持信息的机密性，完整性，可用性及其他属性如真实性，可核查性，不可否认性和可靠性等。目前，此描述得到了国内外的广泛认可。

信息的机密性是指确保只有那些被授予特定权限的人才能够访问到信息。

信息的机密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息。根据信息的重要程度和保密要求将信息分为不同密级。例如，军队内部文件一般分为秘密、机密和绝密三个等级，已授权用户根据所授予的操作权限可以对保密信息进行操作。有的用户只可以读取信息，有的用户既可以进行读操作有可以进行写操作。

信息的完整性是指要保证信息和处理方法的正确性和完整性。

信息完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面是指信息处理方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。

信息的可用性是指确保那些已被授权的用户在他们需要的时候，确实可以访问得到所需要的信息。
即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在故障发生后及时恢复。

信息的真实性和不可否认性，即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。