0.1 背景和環境

0.1 背景和環境

本標準可作為組織基于GB/T 22080^[10]^ 實現信息安全管理體系（ISMS）過程中選擇控制時的參考，或作為組織在實現通用信息安全控制時的指南。在考慮具體信息安全風險環境后，本標準也可用于制定特定行業和特定組織的信息安全管理指南。

所有類型和規模的組織（包括公共和私營部門、商業組織、非盈利性組織）都會收集、處理、存儲和傳輸包括電子、物理和語音（如會談和演講）等多種形式的信息。

信息的價值超越文字、數字和圖像的本身，例如：知識、概念、觀點和品牌都是無形信息。在互聯世界中對于組織業務而言，信息和相關過程、系統、網絡及其操作、處理與保護活動中所涉及的人員都是資產，與其他重要的業務資產一樣，對組織的業務至關重要，因此值得或需要保護以防范各種危害。

資產易遭受故意和意外的威脅；且相關的過程、系統、網絡和人員均有其固有脆弱性。業務過程和系統的變更或其他外部變更（如新的法律法規）可能產生新的信息安全風險。因此，考慮到威脅利用脆弱性損害組織的途徑多種多樣，信息安全風險始終存在。有效的信息安全通過防范威脅和脆弱性使組織得到保護來減少風險，從而降低對其資產的影響。

信息安全可通過實現一組合適的控制來達到，包括策略、過程、規程、組織結構和軟硬件功能。必要時，需要建立、實現、監視、評審和改進這些控制，以確保其滿足組織特定的安全和業務目標。GB/T 22080 ^[10]^規定的ISMS采用整體的、協調的觀點看待組織的信息安全風險，以便在一致的管理體系總體框架下實現一套全面的信息安全控制。

從GB/T 22080 ^[10]^和本標準來看，許多信息系統的設計未達到是安全的。通過技術手段可獲得的安全是有限的，宜通過適當的管理和規程給予支持。確定哪些控制應該存在，這需要仔細規劃并注意細節。一個成功的信息安全管理體系需要得到組織內的所有員工的支持，股東、供應商或其他外部各方的參與，也需要外部各方的專家建議。

在更一般的意義上，有效的信息安全也向管理者及其他相關方保證組織資產處于合理的安全，并受到保護不被損害，因此其角色等同于業務推動者。