機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)

• 機密性(Confidentiality)：資料分類分等、身份驗證授權、加密限制內容
  • 點對點對稱式加密(End to End Symmetric Encryption)
  • 文件權限(File Permissions)控管
• 完整性(Integrity)：確保內容不被竄改
  • 雜湊(Hashing)
  • 職責分離(Segregation of Duties)
  • 審核檢查點(SDLC)
  • RSA(HMC)
  • IPSec
• 可用性(Availability)：用戶可獲得所需訊息
  • 不容易受DOS影響
  • 備份和冗餘(Backups and Redundancy)

資訊安全治理原則(Security Governance Principles)

導入安全框架(Security Frameworks)將ISO27000或開放群組架構框架(The Open Group Architecture Framework, TOGAF)作為治理藍圖及原則。

• 將安全功能(security function)與商業策略(Business Strategy)任務及目標保持一致性
  • 資料遺失或竊取；對應之管控措施，分析並比較兩者的成本及效益
• 組織流程
  • 如果組織結構發生變化，安全性需要配合調整
• 組織角色和職責
  • 每份工作都有一份工作項目清單，需對職掌的決策的風險負責
• 安全控制框架(Security Control Frameworks)
  • 導入框架，根據業務所需包含的內容，應用於組織架構
• 盡職盡責
  • 承擔責任