一. 理解信息安全的概念
    在过往中,我理解的信息安全是建立安全的体系(包括技术)来保障业务的正常运转,或者说每个人有自己的理解,下面贴上CISP教材中认定的信息安全:

    1. ISO的定义:为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露。
    2. CISP教材中认为信息安全分为广义与狭义:
      1. 狭义:狭义上的信息安全一般指建立在IT技术基础的安全防护,目的是保护业务的可用性,保密性,完整性,可持续性。
      2. 广义:广义上的信息安全是一个跨学科领域的安全问题

    安全体系是自上而下的,需要全员参与进来的;不是光靠安全部门独立出具制度文件,也不是光靠IT部门建设内部系统就能做成的。
    安全体系是持续改进的体系。

    1. 安全管理人员在组织中的作用:
      安全人员是从更专业的角度来帮着让业务更顺利,避免本应该遵守,但却没遵守的事故发生。
      业务部门应受限遵守安全要求。
      安全和业务不是出于约束与被约束的对立双方,是属于业务需要,安全辅助的相辅相成的位置,目标和利益是一致的。
    2. 如何理解风险:
      1. 风险简单定义:风险等于影响和可能性。
        影响是风险造成影响的程度,可能性是风险发生的频率。
      2. 考虑风险时,我们应当考虑两个部分:威胁脆弱性
        威胁是可能出错,或可能造成伤害的东西。
        脆弱性是系统中的一个漏洞,这是可以被利用的东西。这是可以被利用,并增加可能性或导致一件坏事的发生。