引言

引言共分8節(jié)。

0.1 什么是信息安全。本小節(jié)中區(qū)別于術(shù)語和定義中的對于“信息安全”的晦澀定義，對信息安全給出了比較清晰的說明。

0.2 為什么需要信息安全。

0.3如何建立安全要求。在本節(jié)中認(rèn)為安全要求主要有三個(gè)來源：

a) -個(gè)來源是通過組織進(jìn)行風(fēng)險(xiǎn)的評估獲得，并考慮到組織整體業(yè)務(wù)戰(zhàn)略和目標(biāo)。 通過風(fēng)險(xiǎn)評估，識別出資產(chǎn)受到的威脅，評價(jià)易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計(jì)潛在的影響。

b)另一個(gè)來源是組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，以及他們的社會(huì)文化環(huán)境。

c)第三個(gè)來源是組織開發(fā)的支持其運(yùn)行的信息處理的原則、目標(biāo)和業(yè)務(wù)要求的特定集合。

0.4評估安全風(fēng)險(xiǎn)。詳細(xì)見4.1評估安全風(fēng)險(xiǎn)。

0.5選擇控制措施。詳細(xì)見4.2處置安全風(fēng)險(xiǎn)。

0.6信息安全起點(diǎn)。許多控制措施被認(rèn)為是實(shí)現(xiàn)信息安全的良好起點(diǎn)。它們或者是基于重要的法律性要求，或者被認(rèn)為是信息安全的常用慣例。