信息保障 INAS

保护和管理与数据及信息系统的使用、存储和传输有关的风险。

指导说明

活动包括但不限于:

  • 以务实和具成本效益的方式管理风险,确保利益相关者对
  • 正式的体系认证和评审
  • 技术评估及评价放心,从而确定控制效果。

信息和数据通常受到以下五项原则的保护:

  • 可用性 — 确保拥有授权的用户能轻松访问所需的资料
  • 完整性 — 保护信息不受未经授权的修改、检索或删除
  • 真实性 — 验证用户及设备的身份
  • 保密性 — 只允许授权用户访问
  • 不可否认性 — 通过确保数据与原始数据的真实性,防止可能发生的拒绝操作。

信息保障: 级别 3

根据信息保障政策和业务目标,遵循信息系统技术评估的标准方法。作出例行的认证决定。认识超出范围和职责层级的决定,并根据情况进行上报。审查和执行风险评估与风险治理计划。确定典型的风险指标并解释预防措施。保持记录的完整性,从而支持和证明决策。

信息保障: 级别 4

对复杂或高风险信息系统进行技术评估和/或认证。确定除标准组织或领域措施外所需的风险缓解措施。确立交付合作伙伴对认证证据的要求,并将认证要求传达给利益相关者。协助信息保障及认证活动的策划和组织工作。协助信息保障流程的开发与实施。

信息保障: 级别 5

解读信息保障和安全策略,并应用这些策略管理风险。提供建议与指导,确保采用并遵守信息保障架构、战略、策略、标准和准则。计划、组织和执行复杂领域、跨职能领域乃至整个供应链的信息保证和认证工作。协助策略、标准和指导方针的制定。

信息保障: 级别 6

制定信息保障政策、标准和准则。协助制定组织战略,以应对不断变化的业务风险和信息控制要求。推动采用和遵守政策和标准。确保遵从架构原则,明确需求,以及应用严格的安全测试。确保认证过程能够支持和实现组织的目标。监测环境和市场趋势,评估对组织战略、利益和风险的任何影响。

信息保障: 级别 7

指导企业信息保障策略的创建和审查,以支持业务的战略需求。通过制定战略、策略、标准和实践措施,以确保业务战略与信息保障之间的一致性。领导在组织所有的信息和信息系统中提供信息保障专业知识、建议与指导。