Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, модификации, исследования, регистрации или уничтожения информации, которая является универсальной концепцией, применяемой независимо от формы, которую могут принимать данные (электронная или, например, физическая), основной задачей информационной безопасности которой является сбалансированная защита конфиденциальности, целостности и доступность данных с учетом удобства приложения и без какого-либо ущерба для производительности организации. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками.
Для того, чтобы стандартизовать эту деятельность, научное и профессиональное сообщества находятся в постоянном сотрудничестве, направленном на выработку базовой методологии, политик и индустриальных стандартов в области технических мер защиты информации, юридической ответственности, а также стандартов обучения пользователей и администраторов. Эта стандартизация в значительной мере развивается под влиянием широкого спектра законодательных и нормативных актов, которые регулируют способы доступа, обработки, хранения и передачи данных. Однако внедрение любых стандартов и методологий в организации может иметь лишь поверхностный эффект, если культура непрерывного совершенствования[англ.] не привита должным образом[1].
