安全 (Security)
安全一詞泛指保護資產 (asset);重要或有意義 (of importance or significance) 的東西都能產生價值 (value),有價值的東西就是資產。更進一步地說,【安全】包含了保護資產的【措施】、【過程】及其所達成的【結果或狀態】。
管理 (Management)
管理是達成【目標】的一套有系統的方法,最常用的方法是規劃-執行-查核-改善(PDCA, Plan-Do-Check-Act)。目標是驅動所有活動的根本元素,要達成目標必須有方法。方法能達標就有效 (effective),反之則無效;無法達成目標的作為都是無效努力,零分!達標的速度稱為效率 (efficiency)。管理強調有效性、效率及品質;也就是說,達標的方法必須有效、執行的過程必須有效率、最終的成果必須有品質 (quality)。
安全管理 (Security Management)
安全不會從天而降或與生俱來,必須進行管理才能得到。安全管理的目標就是達到【令人安心】的狀態。透過規劃、分析、設計、建置、維運及監控保護措施的系統化方法來保護資產,以達到【令人安心】的狀態,就是所謂的【安全管理】。【令人安心】的狀態在【資訊安全】的領域就是指資料不外洩 (機密性)、不被竄改(完整性)、要用的時候都拿得到且系統不會停擺(可用性),進而支持組織業務 (business) ,以創造價值、實現組織的使命與願景。
保證 (Assurance)
資產的安全性取決於保護措施是否能有效地發揮作用。由獨立第三方根據科學的儀器與客觀的標準所進行的安全評鑑及產出的報告,具有最大的安全保證效果,讓人們可以消除疑慮、提升信心,達到安心的狀態。
