如何定义一个企业可接受的相对安全

目前国内并没有一个值得称道且统一的安全体系，最多也就是一些行业牛人根据自己想法编著给大众参考的，就目前来说，一定要选一个安全标准体系做参考的话，国内的“信息安全等级保护“算是一个，不过这个等保的制度从1994年到现在已经10多年了，还是差不多停留在原地，国际的安全标准倒是有很多，比如我们众所周知的ISO27000家族体系（27000,27001,27002）和ISO7498-2，其中ISO27002中包含了14大安全域，ISO7498强调了两个指标分别是五类安全服务，七类安全制度。这两类体系可以相辅相成，同时也存在很大的区别，比如他们的出发点，等级分类，安全分类都不一样。

所以从相对安全论来说，你如果能做到这两类安全体系的结合，从设备（含物理）安全，数据安全，内容安全，行为安全上做到对数据的保密性，完整性，不可否认性那么我就认为就是安全的。

当然我们刚才说了这么多，主要还是技术上的安全管理，日常应用中，我们通常是需要结合组织架构体系（如人事，行政，关联岗位）和管理体系（培训，制度，流程，法律等）

ps:

14大安全领域：包括通信安全、访问控制、业务连续性、信息安全组织、物理与环境安全、人力资源安全等

五类安全服务包括认证（鉴别）服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。

七类安全机制包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制和公证机制。