信息安全策略体系
信息安全策略体系结构组成及具体内容
信息安全策略体系结构组成及具体内容信息安全策略体系是一个组织或企业用来保护其信息资产免受损害的具体计划和框架。
它是信息安全管理的基础,可以帮助组织建立安全的信息系统和保护信息资产,以应对日益增长的威胁和风险。
下面将详细介绍信息安全策略体系的结构、组成以及具体内容。
一、信息安全策略体系的结构1.信息安全目标:明确组织对信息安全的期望和目标,如保护机密性、完整性和可用性。
2.组织结构与职责:确定信息安全管理的组织结构和职责,包括指定信息安全负责人、安全团队以及各个部门的安全职责。
3.风险评估和管理:识别和评估信息系统和信息资产的风险,并采取相应措施来管理和减轻这些风险。
4.安全控制:定义并实施符合组织需求的安全控制措施,以保护信息系统和信息资产。
这包括技术控制、物理控制、组织和人员控制等。
5.安全培训与意识:提供信息安全培训和教育计划,增强员工的信息安全意识和能力。
6.合规性要求:确保组织符合相关的法律、法规和监管要求,以及行业标准和最佳做法。
7.事件响应和恢复:建立适当的响应机制和应急计划,以及恢复系统和信息资产的能力,以应对安全事件和事故。
8.性能评估与改进:定期评估信息安全策略的有效性和组织的安全性能,并制定改进措施。
二、信息安全策略体系的组成1.政策与规程:明确组织对信息安全的要求和政策,并制定相应的信息安全规程和操作指南,以指导员工在日常工作中的行为规范和操作规范。
2.安全控制措施:部署和实施各类安全控制措施,包括访问控制、身份验证、防火墙、加密以及网络安全监控和审计等。
3.审计与监测:建立日志记录和监测系统,对系统的使用情况和安全事件进行跟踪和审计,以及采取相应措施,保护和保留相关日志。
4.信息分类与标识:根据信息的重要性和敏感性将信息进行分类,并采取相应的措施进行标识和保护,以确保信息的机密性和可用性。
5.培训与意识提升:为员工提供信息安全培训和意识提升计划,增强他们对信息安全的认识和重要性,并教育他们如何正确处理信息。
信息安全策略规范范本
信息安全策略规范范本一、背景介绍信息安全是当今社会面临的重要挑战之一。
随着互联网的普及和信息技术的快速发展,不断涌现出各种新型的网络威胁和安全风险。
为了有效防范和应对这些威胁,本公司制定了信息安全策略规范,以确保公司及其客户的信息安全。
二、目标和范围1. 目标本信息安全策略的目标是确保公司信息资产的完整性、可用性和保密性,降低信息安全风险,提高整体信息安全水平,保护公司以及客户的合法权益。
2. 范围本策略适用于公司内部的全部信息系统、网络设备、软件和数据等所有涉及信息资产的方面,以及公司员工、供应商和客户在使用公司信息资源时的相关行为。
三、信息安全管理体系1. 总体安全策略1.1 信息安全意识全体员工应具备信息安全意识,了解信息安全政策和规定,并承担相应的责任和义务。
1.2 信息安全监控和评估建立信息安全监控和评估机制,定期对公司信息系统和网络进行安全漏洞扫描和风险评估。
2. 组织架构和责任2.1 信息安全管理委员会设立信息安全管理委员会,负责制定和审查公司的信息安全策略,执行安全管理决策。
2.2 信息安全责任人设立信息安全责任人,负责制定、实施和监督信息安全管理措施,并协调各部门之间的信息安全工作。
3. 信息安全规范和控制3.1 认证访问控制建立适当的认证访问控制机制,确定用户的身份和权限,并对访问进行监控和记录。
3.2 网络安全保护采用防火墙、入侵检测系统等措施,保护公司内部网络免受未经授权的访问和恶意攻击。
3.3 数据安全保护对数据进行备份和加密,限制数据的传输和存储,确保数据的保密性和完整性。
四、风险管理和应急响应1. 风险评估定期进行风险评估,识别新的安全风险,并制定相应的应对措施。
2. 安全事件应急响应建立安全事件应急响应机制,明确各部门的职责和协调方式,及时应对各类安全事件。
五、培训和意识提升1. 培训计划定期组织信息安全培训,提升员工的信息安全意识和技能,加强信息安全管理。
2. 宣传和意识提升通过内部刊物、宣传栏等方式,加强对信息安全政策和规范的宣传和推广,提高全员的信息安全意识。
信息安全策略
入侵检测与防御策略
实时监测
防御措施
对系统进行实时监测,发现异常行为或潜在 威胁。
采取主动防御措施,如关闭不必要的服务、 修复漏洞等,减少系统受攻击的可能性。
入侵响应
安全审计
在发现入侵行为时,及时响应并采取措施减 轻损失。
通过安全审计工具对系统进行全面检查,发 现潜在的安全风险。
数据备份与恢复策略
企业信息安全管理制度
制定安全管理制度
企业需要制定一套完善的安全管理制度,明确信 息安全职责、操作规范和流程等。
定期进行安全培训
通过定期的安全培训,提高员工的安全意识和技 能,加强安全防范意识。
定期进行安全检查
通过定期的安全检查,发现和修复潜在的安全隐 患,确保企业信息安全。
企业信息安全风险评估与应对
重要的漏洞。
安全配置管理策略
安全配置标准化
制定标准化的安全配置策略,确保所 有系统的安全配置都符合最佳实践。
安全配置审核与更新
定期对系统进行安全配置审核,并根 据审核结果更新安全配置策略。
安全配置监控与日志 分析
对系统的安全配置进行实时监控,并 对监控日志进行分析,发现并解决潜 在的安全问题。
04
工业信息安全监测与预警
监测网络流量
通过对工业控制系统的网络流量进行实时监测,及时发现异 常流量和网络攻击。
预警机制
建立预警机制,通过分析监测数据,预测可能的安全威胁, 提前采取防范措施。
工业信息安全漏洞管理与补丁政策
漏洞发现与报告
及时发现工业控制系统中的安全漏洞,向厂商或安全机构报告,确保漏洞得 到及时修复。
2023
信息安全策略
contents
目录
• 信息安全策略概述 • 信息安全策略基础 • 信息安全策略进阶 • 企业信息安全策略 • 个人信息安全策略 • 工业信息安全策略
信息安全体系主要内容
信息安全体系主要内容随着信息技术的不断发展,信息安全问题也日益突出。
信息安全体系是指企业或组织为保护其信息系统和信息资产而建立的一套完整的安全管理体系。
信息安全体系主要包括以下内容:1. 安全策略安全策略是信息安全体系的核心,它是企业或组织制定的一系列规则和措施,用于保护其信息系统和信息资产。
安全策略应该包括安全目标、安全政策、安全标准、安全程序和安全控制措施等内容。
2. 风险评估风险评估是指对企业或组织的信息系统和信息资产进行全面的风险分析和评估,以确定其安全威胁和风险等级。
通过风险评估,企业或组织可以制定相应的安全措施,提高信息安全保障水平。
3. 安全管理安全管理是指企业或组织对其信息系统和信息资产进行全面的管理和监控,以确保其安全性和完整性。
安全管理应该包括安全组织、安全培训、安全审计、安全监控和安全事件响应等方面。
4. 安全技术安全技术是指企业或组织采用的各种安全技术手段和工具,用于保护其信息系统和信息资产。
安全技术包括网络安全、数据安全、应用安全、物理安全等方面,如防火墙、入侵检测系统、加密技术、访问控制等。
5. 安全评估安全评估是指对企业或组织的信息系统和信息资产进行全面的安全检测和评估,以发现潜在的安全漏洞和风险。
安全评估可以帮助企业或组织及时发现和解决安全问题,提高信息安全保障水平。
信息安全体系是企业或组织保护其信息系统和信息资产的重要手段,其主要内容包括安全策略、风险评估、安全管理、安全技术和安全评估等方面。
企业或组织应该根据自身的实际情况,制定相应的信息安全体系,加强信息安全保障,确保信息系统和信息资产的安全性和完整性。
信息安全体系的构成
信息安全体系的构成信息安全体系是一个复杂的系统,由多个层次和组件构成,以确保信息的保密性、完整性和可用性。
以下是信息安全体系的主要构成部分:1. 策略和政策:信息安全体系的基础是明确的策略和政策,它们定义了组织对于信息安全的期望和要求。
这些政策包括访问控制、密码管理、数据保护、应急响应等方面的规定。
2. 人员和意识:人员是信息安全体系中最重要的因素之一。
组织需要培训员工,提高他们的安全意识,让他们了解信息安全的重要性、常见威胁和如何保护信息。
3. 技术和工具:信息安全体系依赖于各种技术和工具来实现安全目标。
这包括防火墙、入侵检测系统、防病毒软件、加密技术、身份验证和访问控制机制等。
4. 风险管理:识别、评估和管理信息安全风险是信息安全体系的核心任务之一。
组织需要进行风险评估,确定潜在的威胁和脆弱性,并采取相应的控制措施来降低风险。
5. 应急响应计划:尽管采取了预防措施,仍然可能发生信息安全事件。
因此,组织需要制定应急响应计划,包括事件的检测、报告、调查和恢复等步骤,以减少损失并快速恢复正常操作。
6. 合规性:不同的行业和地区可能有特定的信息安全法规和标准,组织需要确保其信息安全体系符合相关的合规要求。
7. 安全审计和监测:定期进行安全审计和监测是信息安全体系的重要组成部分。
这包括漏洞扫描、日志分析、监测网络流量等,以检测和防范潜在的安全威胁。
8. 安全管理:信息安全体系需要有效的管理来确保其持续有效运行。
这包括安全策略的制定、安全团队的组织、安全流程的建立和监控等。
信息安全体系的构成是一个复杂而多方面的领域,需要综合运用技术、管理和人员等多个要素来保护组织的信息资产。
不同组织的信息安全体系可能因其规模、行业和特定需求而有所差异,但以上所述的构成部分是信息安全体系的一般基础。
信息安全方案保护信息安全的五个策略
信息安全方案保护信息安全的五个策略信息安全在当今互联网时代变得愈发重要,各种恶意攻击和数据泄露事件频频发生。
为了保护个人和组织的信息安全,制定适当的信息安全方案是至关重要的。
以下是保护信息安全的五个策略。
一、加强身份认证和访问控制为了防止未经授权的访问和数据泄露,加强身份认证和访问控制是必不可少的策略。
可以采用多层身份验证机制,如密码、生物识别技术和硬件令牌等,以确保只有授权用户能够获得敏感信息的访问权限。
此外,采用适当的访问控制策略,限制不同层次的用户对不同信息资源的访问权限,可以降低信息泄露的风险。
二、加密敏感信息加密是保护敏感信息的重要手段。
通过加密算法,将敏感信息转化为一串看似无意义的字符,即使被非法获取也难以解读。
在传输敏感数据时,可以采用SSL(Secure Sockets Layer)或TLS(Transport Layer Security)等安全协议进行加密传输,确保数据在传输过程中不被窃取或篡改。
此外,对于重要的存储数据,也可以利用加密技术进行保护,以防止未经授权的访问。
三、建立网络安全监控和预警系统及时发现并应对信息安全威胁是保护信息安全的关键。
建立网络安全监控和预警系统,能够实时监测网络流量、异常行为和安全事件,并对恶意攻击进行及时响应。
通过集中管理和分析海量日志数据,可以快速识别出潜在的安全威胁,及时采取措施进行应对。
此外,建立预警机制,提前预测可能的安全风险,有助于减少信息安全事件的发生。
四、加强员工教育和意识培训员工是信息安全的一环,他们的安全意识和行为对整个组织的信息安全至关重要。
加强员工教育和意识培训,提升他们对信息安全的认识和理解,教导他们识别和应对各类安全威胁。
培养员工良好的信息安全习惯,如定期更换密码、避免点击可疑链接和附件、谨慎分享个人信息等,可以有效降低组织内部信息泄露的风险。
五、定期评估和更新安全措施信息安全的威胁是不断演变的,安全措施也需要与时俱进。
信息安全体系方案
信息安全体系方案一、组织结构及分类1.安全策略:制定信息安全的总体目标和方向,为整个信息安全体系提供战略性指导。
2.安全政策:具体规定信息安全的目标、范围和要求,是组织信息安全的重要法规和规范。
3.安全流程:包括安全审计、安全事件应急处理、安全漏洞管理等一系列的流程,确保信息安全的高效运行。
4.安全技术:包括网络安全设备、安全软件、防火墙、入侵检测系统等各种技术手段,用于保护信息资产免受威胁和损失。
5.安全人员:专门负责信息安全的管理和运维,包括安全管理人员、安全运维人员、安全培训人员等。
二、安全策略与政策1.确定信息安全策略:根据组织的业务需求和风险评估结果,明确信息安全的总体目标和方向。
2.制定安全政策:建立一套合理的安全政策体系,确保信息安全政策的可行性和有效性。
3.定期评估和修订:根据实际情况,定期进行安全策略和政策的评估,及时修订和完善。
三、安全流程设计1.安全审计:通过对信息系统和网络的审计,发现可能存在的安全风险和漏洞,并制定改进建议。
2.安全事件应急处理:建立信息安全事件应急响应流程,包括事件的识别、调查、处置和恢复等一系列步骤。
3.安全漏洞管理:建立安全漏洞的收集、分析和修复流程,及时补丁更新和漏洞修复。
四、安全技术实施1.网络安全设备:建立防火墙、入侵检测系统、虚拟专用网络等网络安全设备,保护网络免受外部攻击。
2.安全软件:使用杀毒软件、防火墙软件、加密软件等安全软件,加强对信息资产的保护。
3.安全访问控制:采用访问控制技术,限制用户权限和访问行为,确保信息资产的安全性和完整性。
五、安全人员配备1.安全管理人员:负责信息安全策略和政策的制定、评估和修订,对信息安全进行全面管理。
2.安全运维人员:负责安全设备和安全软件的运维和管理,定期检查和维护安全设备和软件的正常运行。
3.安全培训人员:负责组织和开展安全培训,提高人员的安全意识和技能,增强整个组织的信息安全防护能力。
六、监控和改进1.监控:建立信息安全监控系统,对信息系统和网络进行实时监控,发现异常情况及时采取措施解决。
信息安全工作总体方针和安全策略
3
建立安全可信的信息环境
通过制定和实施全面的安全策略,建立一个安 全可信的信息环境,减少组织面临的安全风险 。
信息安全原则
符合国家法律法规要求
信息安全工作必须符合国家法律法规的要求,遵 循相关标准和规范。
管理与技术并重
信息安全既需要先进的技术防护手段,也需要完 善的管理措施,技术与管理的有机结合是保障信 息安全的有效途径。
定义和术语
信息安全
信息安全策略
指保护信息系统、网络和数据不受未经授权 的入侵、破坏、篡改、泄露等,确保信息的 完整性、可用性、保密性和可控性。
是为实现信息安全目标而制定的行动指南, 包括安全政策、规范、指南和控制措施等。
安全策略制定
实施安全策略
是指根据组织业务战略和风险评估结果,制 定相应的信息安全策略,明确安全要求和目 标。
进行应急响应演练和培训
为了确保应急响应计划的可行性,需要定期进 行应急响应演练和培训,提高应急响应的速度 和质量。
THANKS
感谢观看
目的
信息安全策略的目的是为了提高组织的信息安全水平,降低 信息安全风险,保护组织的业务和数据安全。
信息安全策略制定
需求分析
首先需要分析组织面临的信息安全风险,识别出需要应对的风险点,并根据 风险大小、影响范围等因素进行优先级排序。
策略制定
根据需求分析的结果,制定相应的信息安全策略,明确信息安全目标、原则 、措施和方法,同时考虑策略的可操作性和可维护性。
明确安全策略要达到的目标和实施的具体范围,为后续工作提供明确的方向。
制定实施计划和时间表
根据实施范围和目标,制定详细的实施计划,包括具体的工作任务、时间节点、责任人等 ,同时根据实际情况进行时间安排。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全体系结构、安全策略的组成及具体内容信息安全体系结构、安全策略的组成及具体内容⏹信息安全体系结构⏹信息安全策略的组成⏹信息安全策略的具体内容信息安全体系结构⏹信息安全体系结构的意义⏹TCP/IP参考模型的安全协议分层⏹P2DR动态可适应安全模型⏹PDRR模型⏹WPDRRC模型信息安全体系结构的意义木桶理论:一个桶能装多少水不取决于桶有多高,而取决于组成该桶的最短的那块木条的高度。
所以安全是一个系统工程,涉及到多个方面。
某一方面的缺陷会导致严重的安全事故。
信息安全体系结构的意义⏹无论是OSI参考模型还是TCP/IP参考模型,它们在设计之初都没有充分考虑网络通信中存在的安全问题。
因此,只要在参考模型的任何一个层面发现安全漏洞,就可以对网络通信实施攻击。
⏹在开放式网络环境中,网络通信会遭受两种方式的攻击:主动攻击和被动攻击。
主动攻击包括对用户信息的篡改、删除及伪造,对用户身份的冒充和对合法用户访问的阻止。
被动攻击包括对用户信息的窃取,对信息流量的分析等。
因此,需要建立网络安全体系结构,以实现数据加密、身份认证、数据完整性鉴别、数字签名、访问控制等方面的功能。
TCP/IP参考模型的安全服务与安全机制应用层传输层网际层网络接口层认证服务访问控制数据完整性数据保密性不可抵赖性数据加密数字签名访问控制数据完整性实体认证流量填充路由控制安全机制TCP/IP参考模型安全服务主要安全协议⏹网络接口层PAP(Password Authentication Protocol,密码认证协议) CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)PPTP(Point-to-Point Tunneling Protocol,点对点隧道协议)L2F(Level 2 Forwarding protocol,第二层转发协议)L2TP(Layer 2 Tunneling Protocol,第二层隧道协议)WEP(Wired Equivalent Privacy,有线等效保密)WPA(Wi-Fi Protected Access,Wi-Fi网络保护访问)主要安全协议⏹网际层IPSec(IP Security,IP层安全协议)传输层SSL(Secure Socket Layer,安全套接字层)TLS(Transport Layer Security,安全传输层)SOCKS(Protocol for sessions traversal across firewallsecurely,防火墙安全会话转换协议)主要安全协议⏹应用层SSH(Secure Shell Protocol,安全外壳协议)KerberosPGP(Pretty Good Privacy)S/MIME(Secure/Multipurpose Internet MailExtensions,安全的多功能Internet电子邮件扩充)S-HTTP(Secure Hyper Text Transfer Protocol,安全超文本传输协议)SET(Secure Electronic Transaction,安全电子交易)P2DR动态可适应安全模型⏹P2DR模型是美国国际互联网安全系统公司ISS最先提出的,即Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)⏹按照P2DR的观点,一个完整的动态安全体系,不仅需要恰当的防护(如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(如入侵检测、漏洞扫描等),在发现问题时还需要及时响应,这样的体系需要在统一的、一致的安全策略指导下实施,形成一个完备的、闭环的动态自适应安全体系。
P2DR动态可适应安全模型策略P 检测D 响应R防护PP2DR动态可适应安全模型P2DR模型是建立在基于时间的安全理论基础之上的:Dt:在攻击发生的同时,检测系统发挥作用,攻击行为被检测出来需要的时间Rt:检测到攻击之后,系统会做出应有的响应动作,所需时间被称作响应时间Et:系统暴露时间,即系统处于不安全状况的时间(Et = Dt + Rt - Pt)Pt:攻击成功所需时间被称作安全体系能够提供的防护时间要实现安全,必须让防护时间大于检测时间加上响应时间,即:Pt > Dt + RtP2DR动态可适应安全模型P2DR模型基本上体现了比较完整的信息安全体系的思想,勾画出信息安全体系建立之后一个良好的表现形态。
近十年来,该模型被普遍使用。
不过,P2DR也有不够完善或者说不够明确的地方,那就是对系统恢复的环节没有足够重视。
在P2DR模型中,恢复(Recovery)环节是包含在响应(Response)环节中的,作为事件响应之后的一项处理措施,不过,随着人们对业务连续性和灾难恢复愈加重视,尤其是911恐怖事件发生之后,人们对P2DR模型的认识也就有了新的内容,于是,PDRR模型就应运而生了。
PDRR模型PDRR模型,或者叫PPDRR(或者P2DR2),与P2DR 唯一的区别就是把恢复环节提到了和防护、检测、响应等环节同等的高度。
在PDRR模型中,安全策略、防护、检测、响应和恢复共同构成了完整的安全体系。
保护、检测、恢复、响应这几个阶段并不是孤立的,构建信息安全保障体系必须从安全的各个方面进行综合考虑,只有将技术、管理、策略、工程过程等方面紧密结合,安全保障体系才能真正成为指导安全方案设计和建设的有力依据。
PDRR模型保护检测恢复响应信息保障采用一切手段(主要指静态防护手段)保护信息系统的五大特性。
及时恢复系统,使其尽快正常对外提供服务,是降低网络攻击造成损失的有效途径对危及网络安全的事件和行为做出反应,阻止对信息系统的进一步破坏并使损失降到最低检测本地网络的安全漏洞和存在的非法信息流,从而有效阻止网络攻击PDRR模型PDRR也是基于时间的动态模型,其中,恢复环节对于信息系统和业务活动的生存起着至关重要的作用,组织只有建立并采用完善的恢复计划和机制,其信息系统才能在重大灾难事件中尽快恢复并延续业务。
WPDRRC安全体系模型⏹我国863信息安全专家组博采众长推出⏹该模型全面涵盖了各个安全因素,突出了人、策略、管理的重要性,反映了各个安全组件之间的内在联系。
人——核心政策(包括法律、法规、制度、管理)——桥梁技术——落实在WPDRRC六个环节的各个方面,在各个环节中起作用WPDRRC模型Warning:采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为,并评测攻击的威胁程度、攻击的本质、范围和起源,同时预测敌方可能的行动。
Protect:采用一系列的手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性,完整性、可用性、可控性和不可否认性等。
Detect:利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。
即检测系统脆弱性检测;入侵检测,病毒检测。
WPDRRC模型Respond:对危及安全的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。
包括审计跟踪;事件报警;事件处理Restore:一旦系统遭到破坏,将采取的一系列的措施如文件的备份、数据库的自动恢复等,尽快恢复系统功能,提供正常服务。
Counterattack:利用高技术工具,取得证据,作为犯罪分子犯罪的线索、犯罪依据,依法侦查处置犯罪分子。
信息安全策略的组成⏹信息安全策略的基本概念⏹安全策略的制定⏹执行信息安全策略的过程信息安全策略的基本概念⏹信息安全策略的目的⏹什么是信息安全策略⏹信息安全策略的基本组成⏹信息安全策略的层次信息安全策略的目的制定安全策略的目的是保证网络安全、保护工作的整体性、计划性及规范性,保证各项措施和管理手段的正确实施,使网络系统信息数据的机密性、完整性及可用性受到全面、可靠的保护。
什么是信息安全策略?信息安全策略的意义信息安全策略(Information Security Policy)是一个组织机构中解决信息安全问题最重要的部分。
在一个小型组织内部,信息安全策略的制定者一般应该是该组织的技术管理者,在一个大的组织内部,信息安全策略的制定者可能是由一个多方人员组成的小组。
一个组织的信息安全策略反映出一个组织对于现实和未来安全风险的认识水平,对于组织内部业务人员和技术人员安全风险的假定与处理。
信息安全策略的制定,同时还需要参考相关的标准文本和类似组织的安全管理经验。
什么是信息安全策略?什么是信息安全策略信息安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。
信息安全策略可以划分为两个部分,问题策略(issue policy)和功能策略( functional policy)。
问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。
功能策略描述如何解决所关心的问题,包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。
信息安全策略必须有清晰和完全的文档描述,必须有相应的措施保证信息安全策略得到强制执行。
在组织内部,必须有行政措施保证制定的信息安全策略被不打折扣地执行,管理层不能允许任何违反组织信息安全策略的行为存在,另一方面,也需要根据业务情况的变化不断地修改和补充信息安全策略。
什么是信息安全策略?信息安全策略与技术方案的区别信息安全策略的内容应该有别于技术方案,信息安全策略只是描述一个组织保证信息安全的途径的指导性文件,它不涉及具体做什么和如何做的问题,只需指出要完成的目标。
信息安全策略是原则性的和不涉及具体细节,对于整个组织提供全局性指导,为具体的安全措施和规定提供一个全局性框架。
在信息安全策略中不规定使用什么具体技术,也不描述技术配置参数。
信息安全策略的另外一个特性就是可以被审核,即能够对组织内各个部门信息安全策略的遵守程度给出评价。
什么是信息安全策略?信息安全策略的描述方式信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。
比如一个涉及对敏感信息加密的信息安全策略条目可以这样描述:条目1 “任何类别为机密的信息,无论存贮在计算机中,还是通过公共网络传输时,必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护。
”这个叙述没有谈及加密算法和密钥长度,所以当旧的加密算法被替换,新的加密算法被公布的时候,无须对信息安全策略进行修改。
信息安全策略的基本组成安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则,它包括三个重要的组成部分。
(1) 威严的法律:安全的基石是社会法律、法规与手段。
通过建立一套安全管理标准和方法,即通过建立与信息安全相关的法律和法规,可以使非法者慑于法律,不敢轻举妄动。