一、概述:
(一)概念:
"信息安全"是指一个组织的全部或大多数信息资产受到保护的状态,"网络安全"是指一个组织的计算机网络和信息设备因遭受偶然的或者恶意的原因而遭到破坏、更改、泄露,以及丧失提供这种服务能力的一种状态。
网络安全的威胁来自内外两方面:一方面是来自内部人员有意或者无意地实施的破坏活动;另外一部分是来自外部人员的攻击行为。在网络安全威胁中,外部的威胁主要来源于黑客入侵和网络病毒传播等手段造成的危害后果;内部的危害主要来源于人为失误造成的人身财产损失和信息丢失等后果。
(二)目的:
为了提高组织机构及其相关人员对网络攻击的防御能力和降低其可能带来的损害程度,确保业务连续性并增强其竞争能力而建立的一套完整的管理体系和方法。
(三)适用范围:
本标准适用于从事各类企事业单位的网络安全管理及相关工作的人员使用和管理本标准的参考依据之一。
二、范围:
本标准规定了信息安全管理体系的术语和定义以及相关的原则和要求。