3.1 概要

3.1 概要

各種類型和規模的組織：

a) 收集、處理、存儲和傳輸信息；

b) 認識到信息及其相關過程、系統、網絡和人是實現組織目標的重要資產；

c) 面臨可能影響資產運作的一系列風險；

d) 通過實施信息安全控制應對其感知的風險。

組織持有和處理的所有信息在使用中易受到攻擊、過失、自然災害（例如，洪水或火災）等威脅以及內在脆弱性的影響。術語“信息安全”一般是建立在被認為有價值的信息資產的基礎上，這些信息需要適當的保護，例如，防止可用性、保密性和完整性的喪失。使準確和完整的信息對已授權的需要者及時可用，可促進提升業務效率。

通過有效地定義、實現、維護和改進信息安全來保護信息資產，對于組織實現其目標并保持和增強其合法及形象，必不可少。指導適當控制的實施和處置不可接受的信息安全風險這些協調活動，通常被認為是信息安全管理的要素。

由于信息安全風險和控制的有效性隨著環境的變化而改變，組織需要：

a) 監視和評價已實施的控制和規程的有效性；

b) 識別待處置的新出現的風險；

c) 視需要選擇、實施和改進適當的控制。

為了關聯和協調這類信息安全活動，每個組織需要建立其信息安全策略和目標，并通過使用管理體系有效地實現這些目標。