資訊安全保護目標及其意義

資訊安全的保護目標是什麼？

由於資訊處理安全措施不足，每年造成數十億美元的損失。但是，如何才能充分保護組織資產？公司進行資訊安全工作的最佳途徑是什麼？

根據以下原則，一個結構良好的資訊安全管理系統（ISMS） ISO/IEC 27001它為有效實施整體安全策略提供了最佳基礎。該標準為引入、實施、監控和改進安全防護等級提供了一個模型。為實現這一目標，公司和組織應首先關注資訊安全的三個基本保護目標：

• 保密性
• 正直
• 可用性

資訊保密性

其目標是保護機密資料免遭未經授權的訪問，無論是出於資料保護法的原因，還是基於商業機密（例如受保護的商業機密），商業機密法規定，只有授權的人員才能存取資訊和敏感數據，從而確保資訊的保密性。存取包括讀取、編輯（更改）甚至刪除等操作。

因此，所採取的措施必須確保只有授權人員才能接觸到機密資訊－任何情況下都不允許未經授權的人員接觸。這同樣適用於紙本訊息，因為紙本資訊可能未經保護地放置在桌面上，容易被人閱讀；也適用於在處理過程中無法存取的資料傳輸。

對於已獲授權的人員，還必須明確規定他們應擁有的存取權限類型、允許或需要執行的操作以及禁止執行的操作。必須確保他們無法執行被禁止的操作。此過程中使用的方法和技術多種多樣，在某些情況下還因公司而異。

如果只是未經授權查看或洩露資訊的問題（也包括傳輸過程中的資訊洩露，例如電子郵件通訊！），那麼可以使用加密措施來保護機密性。如果目標是防止未經授權修改訊息，那麼就需要專注於「完整性」這個保護目標。

資訊的完整性

技術術語「完整性」同時與多個要求相關：

• 資訊的非故意更改必須不可能發生，或至少可以偵測和追蹤。在實務中，適用以下分級標準：
  高完整性可防止不必要的更改。
  - 低（弱）完整性可能無法阻止更改，但可以確保檢測到（無意的）更改，並在必要時進行追蹤（可追溯性）。
• 必須保證數據和系統的可靠性。
• 必須保證資訊的完整性。

因此，旨在提高資訊完整性的措施也針對存取授權問題，並結合防範外部和內部攻擊。

資訊的可獲得性

資訊的可用性意味著，包括所需的IT系統在內的所有信息，必須隨時對任何授權人員開放，並能滿足所需的使用（功能）要求。如果系統發生故障或建築物無法進入，則所需資訊將無法取得。在某些情況下，這可能導致影響深遠的中斷，例如流程維護方面。

因此，進行風險分析，評估系統故障的機率、可能持續時間和因資訊安全漏洞造成的任何損失，是十分必要的。分析結果可以用於制定有效的應對措施，並在最壞的情況下實施。

什麼是「擴展」保護目標？

除了保密、完整性和可用性這三大安全目標之外，還有三個額外的安全目標。這三個目標包括「承諾」和「問責」兩方面，二者相輔相成。前者意味著確保行為者無法否認其行為，後者意味著確保該行為能夠可靠地歸因於該行為者。兩者都歸結於行為者的唯一可識別性，而發放唯一密碼是實現這一目標的最低要求。

第三個擴展保護目標是“真實性”，即真偽性。在此背景下，一個簡單的問題是：資訊是否真實－它是否真的來自指定的來源？這項保護目標對於評估資訊來源的可信度至關重要。

資訊安全保護目標：結論

資訊安全最重要的三個保護目標是「保密性」、「完整性」和「可用性」。

保密性為了確保安全，您必須明確定義哪些人有權存取這些敏感資料以及存取方式。這與適當的存取權限設定和加密技術的使用等密切相關。

正直這意味著保護資訊免受未經授權的更改和刪除，並確保資訊的可靠性和完整性。因此，貴公司必須採取預防措施，以便快速檢測資料變更或從根本上防止未經授權的篡改。

可用性這意味著資訊、系統和建築物必須始終對授權人員開放。例如，由於系統故障會帶來重大風險，因此應對這一系列問題進行風險分析。在此記錄最重要係統的故障機率、停機時間和潛在損害。

承諾、責任和真實性是「延伸」的保護目標。

承諾旨在確保行為人無法否定自己的行為。問責制透過明確識別此類行為者，完善了這項擴展保護目標。真實性提出的問題是：一則訊息是真實的還是可信的？

DQS - 您對我們的期望

資訊安全是一個複雜的議題，遠遠超出了IT安全範疇。它涵蓋了技術、組織和基礎設施等多個方面。國際標準ISO/IEC 27001適用於採取有效的保護措施，例如資訊安全管理系統（ISMS）。

DQS是您的審核專家，認證的管理系統以及流程。擁有35年的經驗和2500人的專業知識審計員在全球範圍內，我們是您值得信賴的認證合作夥伴，並能解答您關於認證的所有問題。 ISO 27001以及資訊安全管理系統。

信任和專業知識

我們的文本和宣傳冊均由經驗豐富的標準專家或審核員撰寫。如果您對文字內容或我們的服務有任何疑問，請隨時發送電子郵件給我們。