2)可遵循的資產(chǎn)保護(hù)

我們要保護(hù)什么？這是很多商業(yè)機(jī)構(gòu)經(jīng)常會(huì)提出的問(wèn)題。我們有什么？我們用他來(lái)做什么？我們需要保護(hù)他們嗎？這些非常通俗的提問(wèn)對(duì)于每一個(gè)管理者而言卻很難得到一個(gè)準(zhǔn)確的答案。適度保護(hù)以實(shí)現(xiàn)可衡量的經(jīng)濟(jì)價(jià)值，在商業(yè)信息化保護(hù)中形成了一個(gè)矛盾。沒(méi)有絕對(duì)的安全，但是，在安全事件降臨時(shí)，我們優(yōu)先保護(hù)什么？我們所保護(hù)的資產(chǎn)是組織的核心資產(chǎn)嗎？在一個(gè)合理的成本情況下，我們需要放棄什么？成為考核一個(gè)組織應(yīng)對(duì)業(yè)務(wù)連續(xù)性管理時(shí)的一個(gè)首要問(wèn)題。

3)合規(guī)性

可以把合規(guī)性理解為兩個(gè)層面的問(wèn)題：法律法規(guī)的合規(guī)，如知識(shí)產(chǎn)權(quán)侵犯，符合法律的網(wǎng)絡(luò)監(jiān)控行為和數(shù)據(jù)出口行為；另一個(gè)層面是標(biāo)準(zhǔn)的合規(guī)性，如第三方支付卡業(yè)務(wù)所需要的PCI-DSS；政府、國(guó)企所需要的信息安全等級(jí)保護(hù)等等標(biāo)準(zhǔn)規(guī)范文件。商業(yè)組織的運(yùn)行離不開(kāi)合規(guī)性的保護(hù)和約束，所以商業(yè)組織必須選擇適合自己的合規(guī)性規(guī)約，才能低成本高質(zhì)量的產(chǎn)品。

監(jiān)管合規(guī)性描述了組織在努力確保他們意識(shí)到并采取措施遵守相關(guān)法律，政策和法規(guī)，同時(shí)明確希望實(shí)現(xiàn)的目標(biāo)。由于法規(guī)的數(shù)量和對(duì)業(yè)務(wù)透明度的需求越來(lái)越多，各組織越來(lái)越多地采用統(tǒng)一和協(xié)調(diào)的合規(guī)控制系統(tǒng)。這種方法用于確保滿足所有必要的治理要求，而不會(huì)造成不必要的重復(fù)工作和資源活動(dòng)。

國(guó)際標(biāo)準(zhǔn)化組織( ISO)生產(chǎn)國(guó)際標(biāo)準(zhǔn)，國(guó)際電工委員會(huì)(International Electrotec,hnical Commission，IEC)在電工技術(shù)領(lǐng)域制定國(guó)際標(biāo)準(zhǔn)，如ISO／IEC 27002。一些本地或國(guó)際專(zhuān)業(yè)組織，如美國(guó)機(jī)械工程師協(xié)會(huì)（AmericanSociety of Mechanic,al Engineers，ASME）也制定標(biāo)準(zhǔn)和法規(guī)代碼。因此，它們提供了廣泛的規(guī)則和指令，以確保產(chǎn)品符合安全，安全或設(shè)計(jì)標(biāo)準(zhǔn)。還有一些適用于不同領(lǐng)域的其他法規(guī)，如PCI-DSS，GLBA，F(xiàn)ISMA，聯(lián)合委員會(huì)和HIPAA。在某些情況下，其他合格性框架（如COBIT）或標(biāo)準(zhǔn)(NIST)指導(dǎo)組織如何遵守這些規(guī)定。