【安全】的概念要從【保護】的角度談起。因此,談安全的概念必須思考四個議題:
為什麼要保護?因為有風險。
人類有慾望、願景、目標,但卻有影響目標達成的不確定因素(風險)存在。
保護什麼東西?資產 。
資產是有價值且值得保護的東西。要實現目標必須投入資源,這些資源都是我們覺得重要、有意義或有用的東西(即有價值東西,也就是資產)。
如何保護?安全控制措施(security controls)。
從風險管理的角度,當們作了風險評鑑(識別、分析、評估)後,下個步驟就是進行風險處置。在資安,安全控制措施則是風險處置的具體手段。
保護到什麼程度或達成什麼目標?資安有三階目標。
除了最基礎的CIA,還要能支持組織業務、創造價值,實現組織的使命與願景。
因此,【資訊安全】從字面意義來看,就是指【保護資訊】。同理,【國家安全】就是在談【保護國家】。但保護資訊若只談保護【資訊】本身將不夠全面,必須將處理資料/資訊的相關元素考慮進來,也就是從【資訊系統】的角度來思考資訊安全的議題;這也就是為什麼CISSP的全名是Certified 【Information Systems】 Security Professional. 然而,當代的安全議題,除了從資訊升級到資訊系統,更納入了OT, IoT, Infrastructure等資產,進而升級到【資產】安全;這也是為什麼CISSP的Domain 2的標題叫作Asset Security的原因。
也就是說,我們中文的【資安】一詞,全稱是【資訊安全】,若只從字面意義來看,其範圍就只有保護資訊本身;其它如網路安全、電腦安全…. 大概都可以用【保護】的概念去思考。若從CISSP的全名去看【資訊安全】,也就是從資訊系統(孔雀八根毛)的角度去看,它的範圍會更全面。但若我們從CISSP的Domain 2或實務的觀點去看資安,它探討的則是資產安全的議題。
結論:我們中文的【資訊安全】或【資安】一詞,其實是一個簡約的說法,它並不是真的只討論如何保護資料,而是將【範圍】擴大到資產,以及將【目標與定位】升級到業務及組織的層級,也就是由傳統的CIA目標,升級到三階目標:亦即支持組織業務、創造價值,實現組織的使命與願景。
資料來源:https://medium.com/the-effective-cissp/%E9%87%8D%E6%96%B0%E8%AA%8D%E8%AD%98%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8-33bdc11fcf6b
PS:經作者同意轉載此文章
