8.1.2  企業(yè)信息安全目標(biāo)

企業(yè)信息系統(tǒng)是現(xiàn)代企業(yè)正常運(yùn)營的重要支撐，企業(yè)信息安全主要是信息系統(tǒng)安全。企業(yè)信息系統(tǒng)最基本的安全目標(biāo)是：通過實施一組合適的控制措施，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能，在必要時建立、實施、監(jiān)視和改進(jìn)這些控制措施，以確保業(yè)務(wù)連續(xù)性，達(dá)到業(yè)務(wù)風(fēng)險最小化，投資回報和商業(yè)機(jī)遇最大化的目標(biāo)。

信息安全是要“保持信息的保密性、完整性、可用性；另外也可包括真實性、可核查性、不可否認(rèn)性和可靠性等”（引自GB/T 22080-2008/ISO/IEC27001：2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》3.4條款）。

(1)保密性(confidentiality)。信息不能被未授權(quán)的個人、實體或者過程利用或知悉的特性。

(2)完整性(integrity)。保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。

(3)可用性(availability)。根據(jù)授權(quán)實體的要求可訪問和利用的特性。

(4)真實性(authenticity)。認(rèn)證主體或資源的身份是所聲稱的身份特性。

(5)可核查性(accountability)。確保可將一個實體的行動唯一的追蹤到此時體的特性。

(6)不可否認(rèn)性(non - repudiation)。證實某個活動或事件已經(jīng)發(fā)生，使得事后無法否認(rèn)的特性。

(7)可靠性(reliability)。與預(yù)期行為和結(jié)果相一致的特性。