为什么在业务持续计划（BCP，Business Continuity Plan）团队中要包含法律代表？各行各业在实现其不同程度的BCP过程中，会受到所在相关国家、地区的法律法规约束。比如，贸易公司的主管在保证其业务正常进行的过程中，还要尽职履行其应有的信托职责。像消防、警察、急救等服务，更要按照法律严格制定和执行BCP，因为这些部门是否能够严格制定并执行BCP，关系到整个社会的生命和财产安全。另外，在大多数国家和地区， 对于提供金融服务的银行、经纪人公司等金融机构，以及为它们处理数据的公司，都严格受

对于大多数组织，维持安全是保证业务持续运转必不可少的部分。为了减少安全性故障的可能性，已通过分层的文档组织对实现安全性的过程进行了某种形式的规范化（formalize）。每个层级聚焦处理特定类型和类别的信息和问题。制定并实施文档化的安全策略，标准，过程和指南，将产生坚实而可靠的安全基础结构。这种规范极大地减少了为IT基础架构设计和实施安全解决方案的混乱和复杂性。组织安全策略的四个组成部分可以用下图表示，顶层是安全策略（security policies），它定义了主要的安全目标并概述了组织的安全

数据分类方案（data classification shceme）的主要目标是根据数据的重要性和敏感性的标签对数据处理的流程进行定义和分类。数据分类用来为数据存储、处理、传输提供安全机制。它还解决了如何从系统中删除数据并销毁数据。指定数据分类方案需要以下步骤：识别数据看护人（custodian），并定义他们的职责 指定评估标准，来决定信息如何被分类和标记（labeled） 对所有资源分类和标记（数据所有人执行此步骤，但是主管要检查） 文档详细记录发现的特例，并把它们整合到评估标准中 对每个

变更控制与管理（change control and management）的目的是保证变更不会导致减低或者牺牲系统的安全性。并且，变更控制要求变更能后回退（roll back）到变更之前的状态。变更管理的目的不仅是为了防止预期之外的安全性降低，而且还要保证变更的过程有详细的文档记录和描述，并且能被审计（auditing）,以便可以被检查（review）和管理层的仔细检查。变更管理也是为了遵守公司的安全政策，并且，在有些行业，也有具体政策和法规要求。...

一个组织的安全策略只有当责任（accountability）有效得到维持时才能得到保障。也就是说，安全的保持需要主体(subject)的对其操作负责。有效的责任机制依赖于提升主体身份识别和跟踪其活动的能力。通过安全服务和审计、授权、认证和识别机制，将人与在线身份的活动联系起来，从而建立责任机制。因此，人的责任最终取决于认证过程的强度。不可抵赖性（nonrepudiation）对保证主体对行动和结果负责至关重要。其保证活动或者事件的主体不能否认活动和事件的发生。防止一个主体声称没有发送过消息，没有做过某个

CIA是confidentiality, integrity 和availability三个词的缩写。CIA是系统安全设计的最终目标，常用术语CIA Triad来表述。CIA Triad可以用下图表示：CIA三要素（CIA Triad）的第一项原则是保密性（Confidentiality）。保密性是通过什么样的手段可以保护数据、对象、资源机密性的概念，保密性的目的是组织未授权用户访问数据。加密（encryption）、访问控制（access control）、信息隐写(steganography).