资讯安全是透过安全管制措施来保护资讯资产免於受到危害，以达到机密性、完整性和可用性(即常听到的CIA)之目标（第3层），进而支持业务流程（第2层）、创造和交付价值，实现组织的使命与愿景（第1层）的一门学科.
资料来源：The Effective CISSP: Security and Risk Management

风险是“影响目标达成的不确定因素”。在资讯安全的背景下，威胁是任何可能对目标带来负面影响的风险，通常涉及威胁来源发起一个或多个威胁事件，以利用漏洞并导致不利的影响。

漏洞(Vulnerability)“包括可以被威胁所利用的一个或一组资产的弱点(weakness)”（ISO / IEC 21827），或是“可以被威胁利用或触发的IT系统安全上的弱点。” (ISO/TR 22100-4)

• 弱点是一种“不足”。(ISO 81001-1)
• 资产是有价值且值得保护的东西。
• 保护是指努力防止目标偏离。保护意味着在风险管理中进行风险处置或在资讯安全的场合中实施安全控制（又名安全措施）。
• 保护人的生命永远是当务之急。
  

资讯系统，又常被称为IT系统，是一组离散的收集组织的资讯资源，加工，维修，使用，共享，传播或资讯的处置。在本出版物的上下文中，该定义包括资讯系统运行的环境（即人员、流程、技术、设施和网络空间）。(NIST SP 800-39)

CISSP是一位被ISC2所认证的专家，很了解如何保护资讯系统。

Wentz 的着作The Effective CISSP: Security and Risk Management帮助 CISSP 和 CISM 有志者建立了一个可靠的概念安全模型。它是资讯安全教程和 CISSP 和 CISM 考试官方学习指南的补充，也是安全专业人员的资讯参考。

参考

• ISO/IEC 21827:2008
• ISO/TR 22100-4:2018
• ISO 81001-1:2021

原始来源: Information Security 101