分類
CISSP

資訊系統和網路安全

https://ithelp.ithome.com.tw/upload/images/20220613/201321605BUEIlJqog.jpg
-孔雀作為資訊系統的隱喻

系統(System)
系統是“為實現一個或多個既定目的而組織起來的相互作用元素的組合”。(ISO/IEC 15288: 2015)
“本國際標準中考慮的系統是人造的、創建的和用於在定義的環境中為用戶和其他利益相關者提供產品或服務的系統。這些系統可以配置有以下系統元素中的一個或多個:硬體、軟體、資料、人員、流程(例如,為用戶提供服務的流程)、程序(例如,操作員指令)、設施、材料和自然發生的實體.。在用戶看來,它們被視為產品或服務。” (ISO/IEC 15288: 2015)

資訊系統(Information System)
“資訊系統”是指為收集、處理、維護、使用、共享、傳播或處置資訊而組織起來的一組離散的資訊資源
(44 USC,第 3502 節)
資訊系統是指“存儲、處理和提供資訊訪問的硬體、軟體、供應品、政策、程序和人員的有組織的集合”。(ISO/TS 22220)

資產(Asset)
資產意味著“任何對組織有價值的東西”。
注 1:在資訊安全的背景下,可以區分兩種資產:
主要資產(the primary assets):
. 資訊;
. 業務流程和活動;
所有類型的支持資產(主要資產所依賴的),例如:
. 硬體;
. 軟體;
. 網路;
. 人員;
. 站點;
. 組織結構。
(ISO/IEC 27002:2022)

網路安全(Cybersecurity)
“網路安全”是指防止損壞、保護和恢復計算機、電子通信系統、電子通信服務、有線通信和電子通信,包括其中包含的資訊,以確保其可用性、完整性、身份驗證、機密性和不可否認性. ( NSPD-54/HSPD-23 )
通過預防、檢測和響應攻擊來保護資訊的過程。(NIST 網路安全框架 1.1 版)

資訊保障 (Information Assurance:IA)
通過確保資訊和資訊系統的可用性、完整性、身份驗證、機密性和不可否認性來保護和防禦資訊和資訊系統的措施。這些措施包括通過結合保護、檢測和反應能力來恢復資訊系統。( CNSSI 4009 )
注意:DoDI 8500.01 已從術語資訊保證 (IA) 過渡到術語網路安全。這可能會影響 IA 相關條款。

資訊安全(Information Security)
保護資訊和資訊系統免受未經授權的訪問、使用、披露、中斷、修改或破壞,以提供機密性、完整性和可用性。
(44 USC,第 3542 節)

資料來源: Wentz Wu 網站

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。