引言

引言共分8節。

0.1 什么是信息安全。本小節中區別于術語和定義中的對于“信息安全”的晦澀定義，對信息安全給出了比較清晰的說明。

0.2 為什么需要信息安全。

0.3如何建立安全要求。在本節中認為安全要求主要有三個來源：

a) -個來源是通過組織進行風險的評估獲得，并考慮到組織整體業務戰略和目標。 通過風險評估，識別出資產受到的威脅，評價易受威脅利用的脆弱性和威脅發生的可能性，估計潛在的影響。

b)另一個來源是組織、貿易伙伴、合同方和服務提供者必須滿足的法律、法規、規章和合同要求，以及他們的社會文化環境。

c)第三個來源是組織開發的支持其運行的信息處理的原則、目標和業務要求的特定集合。

0.4評估安全風險。詳細見4.1評估安全風險。

0.5選擇控制措施。詳細見4.2處置安全風險。

0.6信息安全起點。許多控制措施被認為是實現信息安全的良好起點。它們或者是基于重要的法律性要求，或者被認為是信息安全的常用慣例。