1.  信息安全是指信息的保密性、完整性、可用性和真实性的保持。

2、信息安全的重要性

a.信息安全是国家安全的需要

b.信息安全是组织持续发展的需要

c.信息安全是保护个人隐私与财产的需要

3、如何确定组织信息安全的要求

a.法律法规与合同要求

b.风险评估的结果(保护程度与控制方式)

c.组织的原则、目标与要求

4.我国在信息安全管理方面存在的问题

宏观：（1）法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.

（2）管理问题。（包括三个层次：组织建设、制度建设和人员意识）

（3）国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.

微观：（1）缺乏信息安全意识与明确的信息安全方针。

（2）重视安全技术，轻视安全管理。

（3）安全管理缺乏系统管理的思想。

5.系统的信息安全管理原则：制订信息安全方针原则;风险评估原则;费用与风险平衡原则;预防为主原则;商务持续性原则;动态管理原则;全员参与的原则; PDCA原则

6、系统信息安全管理与传统比较

系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性，它完全不同于传统的信息安全管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的，不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失，商务可能因此瘫痪，不能持续。

6.与风险评估有关的概念

a.威胁,是指可能对资产或组织造成损害的事故的潜在原因。

b.薄弱点,是指资产或资产组中能被威胁利用的弱点。

威胁与薄弱点的关系：威胁是利用薄弱点而对资产或组织造成损害的.

c.风险,即特定威胁事件发生的可能性与后果的结合。

d.风险评估,对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估.它是确认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析.