文档介绍:1目录信息安全策略概述信息安全策略的制定主要的安全策略信息安全策略的执行与维护2一、?计算机安全研究组织SANS:“为了保护存储在计算机中的信息,安全策略要确定必须做什么,一个好的策略有足够多‘做什么'的定义,以便于执行者确定‘如何做',并且能够进行度量和评估”。?一组规则,这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。?信息安全策略是一个组织关于信息安全的基本指导规则。?信息安全策略提供:信息保护的内容和目标,信息保护的职责落实,实施信息保护的方法,事故的处理4安全策略的引入信息安全策略从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。安全策略是进一步制定控制规则和安全程序的必要基础。安全策略本质上是非形式化的,也可以是高度数学化的。安全策略将系统的状态分为两个集合:已授权的和未授权的。:?如何使用组织中的信息系统资源;?如何处理敏感信息;?如何采用安全技术产品。:?敏感信息如何被处理??如何正确地维护用户身份与口令,以及其他账号信息??如何对潜在的安全事件和入侵企图进行响应??如何以安全的方式实现内部网及互联网的连接??怎样正确使用电子邮件系统?7安全策略?保密性策略?可用性策略?完整性策略安全策略的层次?信息安全方针?具体的信息安全策略8信息安全方针?信息安全方针就是组织的信息安全委员会或管理机构?制定的一个高层文件,是用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。–信息安全的定义,总体目标和范围,安全对信息共享–的重要性;–管理层意图、支持目标和信息安全原则的阐述;–信息安全控制的简要说明,以及依从法律法规要求对–组织的重要性;–信息安全管理的一般和具体责任定义,包括报告安全–事故等。9安全程序?安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施,是信息安全策略从抽象到具体,从宏观管理层落实到具体执行层的重要一环。?程序是为进行某项活动所规定的途径或方法。?信息安全管理程序包括:?实施控制目标与控制方式的安全控制程序;?为覆盖信息安全管理体系的管理与运作的程序10程序文件的内容包括:?活动的目的与范围(Why)。做什么(What)?谁来做(Who)何时(When)何地(Where)?如何做(How)程序文件应遵循的原则:?一般不涉及纯技术性的细节?针对影响信息安全的各项活动目标的执行做出的规定?应当简练、明确和易懂?应当采用统一的结构与格式编排