企业信息安全究竟要做什么?要关注哪些方面?如何来落实?这些问题一直困扰着各个企业的CSO、CIO和CEO们，为此，本文将从信息安全的定义出发，讨论企业信息安全框架及其实施内涵。

　　随着全球范围内数据泄露、黑客攻击等安全事件不断出现，信息安全工作的重要性已为全世界所接受，很多企业目前都将信息安全工作提到了战略性的高度。

　　传统信息安全的定义

　　“信息安全”曾经仅是学术界所关心的术语，就像五、六十年前“计算机”被称为“电算机”那样仅被学术界所了解一样。现在，“信息安全”因各种原因已经像公众词汇那样被人所熟知，尽管尚不能与“计算机”这个词汇的知名度相比，但也已经具有广泛的普及性。问题的关键在于人们对“计算机”的理解不会有什么太大的偏差，而对“信息安全”的理解则各式各样。种种偏差主要来自于从不同的角度来看信息安全，因此出现了“计算机安全”、“网络安全”、“信息内容安全”之类的提法，也出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”等描述方式。

　　关于信息安全的定义，以下是一些有代表性的定义方式：

　　1)国内学者给出的定义是：“信息安全保密内容分为：实体安全、运行安全、数据安全和管理安全四个方面。”

　　2)我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。

　　3)英国BS7799信息安全管理标准给出的定义是：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。”

　　4)美国国家安全局信息保障主任给出的定义是：“因为术语‘信息安全’一直仅表示信息的机密性，在国防部我们用‘信息保障’来描述信息安全，也叫‘IA’。它包含5种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。”

(责任编辑：)