1.  信息安全是指信息的保密性、完整性、可用性和真實性的保持。

2、信息安全的重要性

a.信息安全是國家安全的需要

b.信息安全是組織持續(xù)發(fā)展的需要

c.信息安全是保護個人隱私與財產(chǎn)的需要

3、如何確定組織信息安全的要求

a.法律法規(guī)與合同要求

b.風險評估的結(jié)果(保護程度與控制方式)

c.組織的原則、目標與要求

4.我國在信息安全管理方面存在的問題

宏觀：（1）法律法規(guī)問題。健全的信息安全法律法規(guī)體系是確保國家信息安全的基礎(chǔ),是信息安全的第一道防線.

（2）管理問題。（包括三個層次：組織建設、制度建設和人員意識）

（3）國家信息基礎(chǔ)設施建設問題。目前,中國信息基礎(chǔ)設施幾乎完全是建立在外國的核心信息技術(shù)之上的,導致我國在網(wǎng)絡時代沒有制網(wǎng)權(quán).

微觀：（1）缺乏信息安全意識與明確的信息安全方針。

（2）重視安全技術(shù)，輕視安全管理。

（3）安全管理缺乏系統(tǒng)管理的思想。

5.系統(tǒng)的信息安全管理原則：制訂信息安全方針原則;風險評估原則;費用與風險平衡原則;預防為主原則;商務持續(xù)性原則;動態(tài)管理原則;全員參與的原則; PDCA原則

6、系統(tǒng)信息安全管理與傳統(tǒng)比較

系統(tǒng)的信息安全管理是動態(tài)的、系統(tǒng)的、全員參與的、制度化的、預防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平，從根本上保證業(yè)務的連續(xù)性，它完全不同于傳統(tǒng)的信息安全管理模式：靜態(tài)的、局部的、少數(shù)人負責的、突擊式的、事后糾正式的，不能從根本上避免、降低各類風險，也不能降低信息安全故障導致的綜合損失，商務可能因此癱瘓，不能持續(xù)。

6.與風險評估有關(guān)的概念

a.威脅,是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。

b.薄弱點,是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。

威脅與薄弱點的關(guān)系：威脅是利用薄弱點而對資產(chǎn)或組織造成損害的.

c.風險,即特定威脅事件發(fā)生的可能性與后果的結(jié)合。

d.風險評估,對信息和信息處理設施的威脅、影響和薄弱點及三者發(fā)生的可能性評估.它是確認安全風險及其大小的過程,即利用適當?shù)娘L險評估工具,確定資產(chǎn)風險等級和優(yōu)先控制順序,所以,風險評估也稱為風險分析.