文档介绍：信息安全技术
第 9 章信息安全管理与灾难恢复
信息安全管理与工程
信息灾难恢复规划
信息安全管理与工程
信息安全管理策略
信息安全机构和队伍
信息安全管理制度
信息安全管理标准
信息安全的法律保障
信息安全工程
信息安全工程的设计步骤
信息安全工程的实施与监理
实验与思考
信息安全管理策略
信息安全管理策略是组织机构为发布、管理和保护敏感的信息资源(信息和信息处理设施) 而制定的一组法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是企业内所有成员都必须遵守的规则。它告诉组织成员在日常工作中什么是必须做的,什么是可以做的,什么是不可以做的;哪里是安全区,哪里是敏感区等等。
信息安全管理策略
作为有关信息安全方面的行为规范,一个成功的信息安全策略应当遵循:
1) 综合平衡(综合考虑需求、风险、代价等诸多因素)
2) 整体优化(利用系统工程思想,使系统总体性能最优)
3) 易于操作和确保可靠。
信息安全管理策略
信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员;对所有相关员工进行信息安全策略的培训;对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正落实到实际工作中。当然,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略,为信息安全提供管理指导和支持。
信息安全管理策略
(1) 制订策略的原则
在制定信息安全管理策略时,应遵守以下原则:
1) 目的性。策略是为组织完成自己的信息安全使命而制定,应该反映组织整体利益和可持续发展的要求。
2) 适用性。策略应该反映组织的真实环境和当前信息安全的发展水平。
3) 可行性。策略的目标应该可以实现,并容易测量和审核。
信息安全管理策略
4) 经济性。策略应该经济合理,过分复杂和草率都不可取。
5) 完整性。策略能够反映组织的所有业务流程的安全需要。
6) 一致性。策略应该和国家、地方的法律法规保持一致;和组织已有的策略、方针保持一致;以及和整体安全策略保持一致。
7) 弹性。策略不仅要满足当前的要求,还要满足组织和环境在未来一段时间内发展的要求。
信息安全管理策略
(2) 策略的主要内容
理论上,一个完整的信息安全策略体系应该保障组织信息的机密性、可用性和完整性。虽然每个组织的性质、规模和内、外部环境各不相同,但一个正式的信息安全策略应包含下列一些内容:
1) 适用范围。包括人员范围和时效性,例如“本规定适用于所有员工”,“适用于工作时间和非工作时间”。
信息安全管理策略
2) 保护目标。安全策略中要包含信息系统要保护的所有资产(包括硬件、软件和数据) 以及每件资产的重要性和其要达到的安全程度。例如,“为确保企业的经营、技术等机密信息不被泄漏,维护企业的经济利益,根据国家有关法律,结合企业实际,特制定本条例。”