1.  信息安全是指信息的保密性、完整性、可用性和真實(shí)性的保持。

2、信息安全的重要性

a.信息安全是國家安全的需要

b.信息安全是組織持續(xù)發(fā)展的需要

c.信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要

3、如何確定組織信息安全的要求

a.法律法規(guī)與合同要求

b.風(fēng)險(xiǎn)評估的結(jié)果(保護(hù)程度與控制方式)

c.組織的原則、目標(biāo)與要求

4.我國在信息安全管理方面存在的問題

宏觀：（1）法律法規(guī)問題。健全的信息安全法律法規(guī)體系是確保國家信息安全的基礎(chǔ),是信息安全的第一道防線.

（2）管理問題。（包括三個(gè)層次：組織建設(shè)、制度建設(shè)和人員意識）

（3）國家信息基礎(chǔ)設(shè)施建設(shè)問題。目前,中國信息基礎(chǔ)設(shè)施幾乎完全是建立在外國的核心信息技術(shù)之上的,導(dǎo)致我國在網(wǎng)絡(luò)時(shí)代沒有制網(wǎng)權(quán).

微觀：（1）缺乏信息安全意識與明確的信息安全方針。

（2）重視安全技術(shù)，輕視安全管理。

（3）安全管理缺乏系統(tǒng)管理的思想。

5.系統(tǒng)的信息安全管理原則：制訂信息安全方針原則;風(fēng)險(xiǎn)評估原則;費(fèi)用與風(fēng)險(xiǎn)平衡原則;預(yù)防為主原則;商務(wù)持續(xù)性原則;動態(tài)管理原則;全員參與的原則; PDCA原則

6、系統(tǒng)信息安全管理與傳統(tǒng)比較

系統(tǒng)的信息安全管理是動態(tài)的、系統(tǒng)的、全員參與的、制度化的、預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性，它完全不同于傳統(tǒng)的信息安全管理模式：靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的，不能從根本上避免、降低各類風(fēng)險(xiǎn)，也不能降低信息安全故障導(dǎo)致的綜合損失，商務(wù)可能因此癱瘓，不能持續(xù)。

6.與風(fēng)險(xiǎn)評估有關(guān)的概念

a.威脅,是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。

b.薄弱點(diǎn),是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。

威脅與薄弱點(diǎn)的關(guān)系：威脅是利用薄弱點(diǎn)而對資產(chǎn)或組織造成損害的.

c.風(fēng)險(xiǎn),即特定威脅事件發(fā)生的可能性與后果的結(jié)合。

d.風(fēng)險(xiǎn)評估,對信息和信息處理設(shè)施的威脅、影響和薄弱點(diǎn)及三者發(fā)生的可能性評估.它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程,即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評估工具,確定資產(chǎn)風(fēng)險(xiǎn)等級和優(yōu)先控制順序,所以,風(fēng)險(xiǎn)評估也稱為風(fēng)險(xiǎn)分析.