8.1.2  企業(yè)信息安全目標(biāo)

企業(yè)信息系統(tǒng)是現(xiàn)代企業(yè)正常運(yùn)營的重要支撐，企業(yè)信息安全主要是信息系統(tǒng)安全。企業(yè)信息系統(tǒng)最基本的安全目標(biāo)是：通過實(shí)施一組合適的控制措施，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能，在必要時(shí)建立、實(shí)施、監(jiān)視和改進(jìn)這些控制措施，以確保業(yè)務(wù)連續(xù)性，達(dá)到業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化的目標(biāo)。

信息安全是要“保持信息的保密性、完整性、可用性；另外也可包括真實(shí)性、可核查性、不可否認(rèn)性和可靠性等”（引自GB/T 22080-2008/ISO/IEC27001：2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》3.4條款）。

(1)保密性(confidentiality)。信息不能被未授權(quán)的個人、實(shí)體或者過程利用或知悉的特性。

(2)完整性(integrity)。保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。

(3)可用性(availability)。根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性。

(4)真實(shí)性(authenticity)。認(rèn)證主體或資源的身份是所聲稱的身份特性。

(5)可核查性(accountability)。確保可將一個實(shí)體的行動唯一的追蹤到此時(shí)體的特性。

(6)不可否認(rèn)性(non - repudiation)。證實(shí)某個活動或事件已經(jīng)發(fā)生，使得事后無法否認(rèn)的特性。

(7)可靠性(reliability)。與預(yù)期行為和結(jié)果相一致的特性。