我们大家都知道未来所有企业都要进行不同程度的数字化转型，也就是所有企业都在信息化的路上。企业的业务对于信息化的依赖逐年提高，企业对信息化的依赖和信息资产自身的复杂性不断加大和催生众多信息安全问题。根据不完全统计，软件信息系统的缺陷的增长速度趋向于与软件代码行数的平方成正比关系。也就是越是复杂系统，其由于自身缺陷所带来的脆弱性越加严重。而脆弱性是风险发生的关键要素，从安全的视角，风险就是威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。而这种威胁可以来自业务资产所属企业的内部或外部，故而需要考虑对企业资产的信息安全采取保障措施。

 CISP认证的指定教材《注册信息安全专业人员培训教材》的第一章系统地介绍

了信息安全的意义，以及信息安全保障所涉及的方方面面。

在教材的第35页，我们可以看到一个符合国标的信息系统安全保障模型。该模型强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程。通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标。技术涉及到教材的第7-10章的内容，分别介绍了密码学、物理与网络通信安全、操作系统安全和软件安全开发等相关事宜。管理涉及到教材的第2-4章的，涉及网络安全法、安全管理和业务连续性管理等核心内容。工程涉及第5章，安全工程与运营。人员涉及安全文化的建立、安全意识的培养和持续培训，并关联网络安全道德准则。

   第一章的信息安全保障所涉及的核心内容总结如下：

   1、信息安全的保障目标是对组织机构有价值的信息资产的CIA三要素不被破坏；

   2、CIA是指保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）；

   3、保密性：也称机密性，保护敏感的信息不被非授权的泄漏或窃听。比如说公司的保密性的邮件或你自己私密的照片不能被不相关的人看到；

   4、完整性：确保数据、信息或软件的精确和完备。它强调的是系统相关数据的完整性，没有被篡改。通常指数据库的数据交易失败的回滚机制，还有交易的一致性，比如说你在ATM机上取钱，你所取的金额和实际上银行扣除的金额要相符；

   5、可用性：确保信息和重要的IT服务是在有访问需求的时候总是可用的，没有被恶意破坏。我们都希望当你每次想在ATM机上取钱都能够取到，尤其是在过节或过年的时候，ATM一定要有钱可以取；

   6、我们都知道一个系统的保密性通常与可用性是一对矛盾共同体。要想提升保密性，有时就需要牺牲系统的可用性或访问的便捷性。比如企业设置多重防火墙和严格近乎苛刻的访问策略（比如只开特定的网络访问端口）就是在提升保密性，但是也无形中降低了一定系统可用性和访问的便捷性；

7、如果我们把保密性和可用性比喻成跷跷板两头，那么完整性是跷跷板的支点。由完整性引申出更多的安全要素，如真实性、可问责性、不可否认性和可靠性等；

8、针对安全，国家倡导技术和管理并重，保护和震慑并举的战略指导原则。企业可以通过建立威胁情报和态势感知平台，对潜在入侵等信息安全事件进行主动管理，并起到一定的威慑作用。我们也需要做好针对企业员工的安全教育，逐步降低社会工程学攻击所带来的任何负面影响；

9、社会工程学是一种通过对受害者心理弱点，如本能反应、好奇心、信任、贪婪等进行利用，实现对受害者进行欺骗以获得自身利益的方法；

10、通过信息安全保障框架的诸多模型来对企业人员进行有针对性的安全教育。比如PDR（保护-检测-响应）模型是基于时间的安全模型，强调系统能够支持的防护时间（Pt）一定要大于检测时间(Dt)和响应时间(Rt)之和。检测时间是从发起攻击到检测到攻击的时间。响应时间是从发现攻击到做到有效处置的时间。只有Pt>Dt+Rt,才能证明系统是安全的；

11、信息系统的安全防护是一个全方位的系统工程，比如在信息安全保障技术框架（IATF）中就提到需要关注三个核心要素和四个焦点领域。三个核心要素分别是指人、技术和操作。人作为信息系统的主体，是第一要素。人针对安全需要做到主动管理，即操作的要素。比如在企业内部设置必要的安全策略、发起安全审计、定期的风险评估和信息安全事件的应急演练等。

12、安全需要从企业的战略和架构层面来考量。企业架构我们可以参考开放组织（Open Group）推出的TOGAF架构体系，而安全架构可以参考舍伍德商业应用安全架构，即SABSA。

总之，CISP认证的指定教材的第一章介绍了信息安全保障工作的方方面面，对我们后续学习其他章节有一个提纲挈领和宏观的指引作用。