What is Information Security Management?

信息安全管理是保護組織的資料和資產免受潛在威脅的過程。這些程序的主要目標之一是保護資料的機密性、完整性和可用性。資訊安全管理可能由企業安全政策內部推動，也可以由一般資料保護規例 (GDPR)、健康保險可攜性和無障礙法案 (HIPAA) 以及支付卡行業資料安全標準 (PCI DSS) 等法規驅動。

資訊安全管理的重要性

平均組織收集大量數據。這包括敏感的客戶資料、智慧財產權和其他對組織競爭優勢和營運能力至關重要的資料。

這些數據的價值意味著它持續受到網絡犯罪分子竊取或加密的威脅勒索。一個有效的安全管理架構這是至關重要的，因為組織需要採取措施來保護這些數據以保護自己和其客戶。

資訊安全管理的目標是保護資料：

保密性： 保護資料機密性需要限制僅限授權使用者存取資料。數據洩露是違反機密性。
完整性： 確保資料完整性需要能夠確保資料準確且完整。破壞組織數據庫中的數據的網絡威脅參與者是違反數據完整性。
Availability: 無論是公司內部還是外，授權用戶都必須提供數據和依賴它的服務。一分散式阻斷服務 (DDoS) 攻擊是針對組織資料和服務可用性威脅的一個例子。

組織資料的機密性、完整性和可用性可能會受到各種方式威脅。資訊安全管理包括識別對組織的潛在風險、評估其可能性和潛在影響，以及制定和實施修復策略，旨在利用可用資源盡可能降低風險。

組織的資訊安全管理策略可能由多種不同的因素驅動。該計劃可能是由內部政策啟發，或是外部力量的要求。這兩個潛在的驅動因素都有相關的標準和合規性。

在某些情況下，組織的內部安全政策和業務目標可能需要實施資訊安全管理系統。例如， ISO 27001這是一種描述安全最佳實踐的國際標準，要求實施信息安全管理系統。希望根據 ISO 27001 認證的公司將需要實施它。

一個組織的安全管理程序也可能由外部因素驅動。例如，許多組織根據一個或多個資料保護法規進行操作。

一些常見的例子包括：

一般資料保護規範（GDPR）: 通過嚴格的個人隱私和數據安全要求保護歐盟公民的個人識別信息（PII）。
健康保險可攜性和無障礙性法案（HIPAA）: 美國針對醫療保健行業的法規，對受保護的健康信息（PHI）強制進行安全控制。
Payment Card Industry Data Security Standard (PCI DSS): 金融部門制定了一項規例，通過保護支付卡持卡持有人的個人數據來防止欺詐。

這些和其他數據隱私法律可能明確或隱含要求實施信息安全管理計劃。即使沒有明確需要這樣的程序，但是遵守法規數據安全要求的可擴展和可持續性，使實施強大的安全管理流程和程序是必要的。

除了改善組織的資料安全性之外，infosec 管理計畫還可以提供以下好處：

簡化資料安全性： 資訊安全管理計劃可建立一個框架和流程，用於評估資料安全風險並修復它們。採用這樣的程序可以通過使組織能夠優化其安全架構並消除不必要和重疊的解決方案，從而使數據安全性更高效和有效。
改善安全文化： 通常，infosec 由 IT 或安全部門擁有，並且很難在整個組織中傳播和強制執行。教育員工有關公司的信息安全管理計劃，可以提高安全性，創造更積極的安全文化。
品牌形象: 資料外洩和其他安全事件可能會損害組織的品牌形象。經證明符合安全最佳實踐的合規可以幫助組織提高聲譽並改善與客戶和合作夥伴的關係。