信息安全策略及实施方法

1、. 1，信息安全策略和实施方法.2，目录，3，1，信息安全策略概要.4，1 .信息安全策略定义，计算机安全研究组织SANS :“为了保护计算机上存储的信息，安全策略一系列规则，描述了组织应该实现的信息安全目标和如何实现该信息安全目标。 信息安全战略是组织在信息安全方面的基本方针。 提供信息安全战略：信息保护的内容和目标，信息保护的作用的执行，实施信息保护的方法，事故处理，5，安全战略的引入，信息安全战略本质上说明组织拥有什么样的重要信息资产，并计划说明这些信息资产是如何被保护的安全策略是进一步制定控制规则和安全流程的必要基础。 安全战略本质上没有形式化，也可以高度数学化。 安全策略将系统状态分

2、为两个集合：中的授权和未授权。 6、1.1安全策略实施、信息安全策略的目的：如何使用组织的信息系统资源？如何处理敏感信息？如何采用安全技术产品？7、1.1安全策略实施、安全策略相关问题：机密信息如何处理？ 如何正确地维护用户id、密码和其他帐户信息？我该怎么做？ 如何应对潜在的安全事件和入侵意图呢？ 如何安全地实现内部网与互联网的连接呢？ 如何正确地使用电子邮件系统呢？8、安全策略、安全策略、可用性策略、安全策略级别、信息安全策略、具体的信息安全策略、9、信息安全策略、信息安全策略是组织的信息安全委员会或管理机构信息安全的定义，整体目标和范围，安全对信息共享的重要性管理层的意图，支持目标，信息

3、安全原则的说明信息安全管理的简要说明，按照法律法规要求的组织的重要性信息安全管理的一般责任定义和具体责任定义，包括安全事故的报告等。10、安全程序、安全程序是信息安全战略的有效实施、具体化、过程性措施的保障，信息安全战略是从抽象到具体，从宏观经营层到具体执行层的重要一环。 程序是为了进行某项活动而规定的方法或方法。 信息安全管理程序包括实施控制目标和控制方式的安全控制程序在内，是独占信息安全管理系统的管理和运营的程序，11、程序文件的内容是活动的目的和范围(Why )。 做什么(What )谁(When )在哪里(Where )怎么办(How )，程序文件应该遵循原则：一般来说，纯粹的技术细节

4、影响信息安全，对各活动目标的执行所做的规定是简洁、明确、易懂的统一结构12、2 .信息安全战略的特点指导原则性审计可能性非技术现实可行性动态记录，13、3 .信息安全战略的地位，采取适当措施。 信息安全战略被强制执行的管理者不能允许有违反信息安全战略的行为的信息安全战略需要明确完整的文件描述，需要随着业务情况的变化不断地修改和补充信息安全战略。14、4 .需要功能的信息安全战略的主要功能建立一系列的安全需要、控制措施和执行程序，定义安全角色并赋予管理责任，阐述组织的安全目标，为安全措施与组织强制执行相关的舆论和规则建立基础。、15、信息安全策略的保护对象、16、信息安全策略、网络设备安全服务器

5、的安全信息分类信息安全用户帐户和密码远程访问、 防病毒防火墙和入侵检测安全事件调查和灾害恢复和业务持续计划风险评价信息系统审计，17，信息安全策略设计范围，18，信息安全策略设计范围，19信息安全策略设计范围，20，安全策略的1 .目标2 .范围3 .战略内容4 .角色责任5 .执行纪律6 .术语7 .版本历史，21、安全战略的形式，1 .建立目标信息系统安全的整体目标，定义信息安全的管理结构，并向组织成员提出安全要求。 信息安全战略需要一定的透明度，必须得到高层管理层的支持。 这种透明性和顶层支持必须明确积极地反映在安全战略中。 信息安全战略必须强调所有员工“信息安全，人人有责”的原则，让员

6、工理解自己的安全责任和义务。22、安全策略的形式、2 .范围信息安全策略必须具有足够的范围，包括组织的所有信息资源、设施、硬件、软件、信息和人员。 在某些情况下，安全性可以定义特殊资产，如组织的主要站点、各种重要设备和大系统。 此外，还必须包含组织中所有信息资源类型的摘要，包括工作站、局域网和独立。23、安全策略的形式、3 .策略的内容定义在ISO17799中，信息安全策略的描述应着重于机密性、完整性和可用性三方面。 这三个特性是组织建立信息安全策略的出发点。 机密性意味着信息只能由授权用户访问，而其他未授权用户或未授权的方法不能访问。 完整性保证信息必须完整，信息不能丢失或破损，只能用批准的

7、方法修改。 可用性是授权用户可以随时访问所需的信息，信息系统在各种事故、故意被破坏的安全事件中工作正常。24、安全策略的形式、3 .策略的内容必须根据给定的环境，明确地向员工描述与这些特性相关的信息安全要求。 组织的信息安全策略必须以员工熟悉的活动、信息、术语等方式反映特定环境下的安全目标。 例如，如果组织维持大型机密性要求不高的数据库，则安全目标主要是减少错误率、数据丢失或数据破坏。 在组织对数据机密性要求高的情况下，安全目标的重点是防止数据非法泄露。25、安全战略形式、4 .角色责任信息安全战略除确立安全程序和方案管理责任外，还需要对组织定义各种角色和分配责任，需要明确的要求。 例如，一些

8、业务管理员、应用系统所有者、数据用户、计算机系统安全团队等。 有时，必须在信息安全战略中整理组织中的各种个体和团体的关系，以防止在履行各自的责任和义务时发生冲突。26、安全战略形式、5 .没有正式的、书面的安全战略执行纪律，管理层无法制定惩戒执行标准和机制。 信息安全战略是组织制定和执行纪律措施的基础。 信息安全战略必须根据安全战略损害行为的类型和程度来制定惩戒方法。 我们认为，有时员工并不意图违反安全策略，也有时对安全策略缺乏必要的知识。 针对这种情况，信息安全战略要事先采取措施，在合理的期间内进行相关的安全策略介绍和安全意识教育训练。27、安全策略格式、6 .术语应解释与信息安全策略相关的

9、术语，以免组织成员对策略的理解变得模糊。7 .版本历史说明了战略版本在各阶段的修订情况，28，2，信息安全战略的制定，29， 1 .制定信息安全战略的原则先进的网络安全技术是网络安全的基本保证严格的安全管理是确保信息安全战略执行的基础严格的法律、法规是网络安全保障牢固备份的具体原则起点原则长期30、2 .制定战略要达到的目标：降低风险，遵守法律和规则，确保组织运营的连续性，信息的完整性和机密性。31、3 .信息安全战略的依据，国家法律、法规、政策行业规范相关机构的制约机构自身的安全需要，32，制定流程，具体制定过程如下。 确定信息安全战略的范围风险评价/分析或监查信息安全战略的审查、批准和实施

10、具体如下。 33、制定流程，理解组织业务的特征，充分理解组织业务的特征是设计信息安全策略的前提。 对组织业务的理解包括分析其业务内容、性质、目标及其价值。 得到管理层的明确支持和同意，可以得到有效的资源保证，使制定的信息安全战略和组织的业务目标一致，使制定的安全方针、政策和控制措施能在组织上下有效地贯彻下去。34、负责制定流程、制定安全战略团队、组成高级管理员的信息安全管理员信息安全技术人员安全策略的执行的管理员用户部门人员。 通过确定信息安全整体目标，防止和最小化安全事故的影响，保证业务连续性，最小化业务损失，为实现业务目标提供保障。35、制定流程，确定安全策略的范围，组织必须根据自己的实际

11、情况确定信息安全策略涉及的范围，可以在整个组织范围内，或者在单独的部门和领域制定信息安全策略。 风险评估和安全控制，风险评估的结果是选择适合组织的控制目标和控制方式的基础，组织选择适合自己安全需求的控制目标和控制方式后，安全战略的制定成为最直接的依据。 起草安全战略，安全战略尽量涵盖所有风险和控制，无关内容说明原因，根据具体的风险和控制制定怎样的安全战略。36、制定流程，评估安全战略，安全战略是否符合法律津、法规、技术标准和合同要求，管理层是否批准安全策略，明确承诺实施支持策略？ 安全战略会损害组织、组织人员、第三方的利益吗？ 安全策略是否实用、可操作并能在整个组织中实施？ 安全策略是否满足组

12、织的各个方面的安全要求？ 安全战略被传达给组织内的人员和相关人员，得到他们的同意吗？37、制定流程，实施安全战略，将安全方针和具体安全战略编制成组织信息安全战略手册，发给组织各组织人员和相关人员。 几乎所有级别的人都参与了这些政策。组织内的主要资源将引入很多新的条款、程序和活动来执行这些政策复盖的安全策略。 组织所在的内外环境不断变化信息资产面临的风险也是变量。人的思想和观念也在不断变化。 政策的持续改进，38、制定流程，信息安全战略主要依赖于组织处理和使用的信息特性来推进制定。 制定一系列信息安全战略时，必须参考最近的风险评估和信息审计，明确地理解组织当前的信息安全需求。 曾经发生的安全事件

13、的总结也是有价值的资料。 为了确定需要进一步注意的部分，必须收集组织当前的所有相关策略文件。 也可以参考国际标准、行业标准接受指导。资料收集阶段的工作非常重要，经常因为工作量和实施的困难而简化了操作。39、在制定流程和战略之前，对现状进行彻底调查的另一个作用是阐明内部信息系统的体系结构。 信息安全战略应与现有信息系统结构相匹配，完全支持。 它不是针对信息安全体系结构，而是针对信息系统体系结构。 一般在建立信息系统的架构之后制定信息安全策略，以保证信息安全系统的实施和操作。40、制定流程，收集上述资料后，根据前期的调查资料制定信息安全战略文件初稿，直接找相关人员对其进行小范围审查。 在修改反馈意

14、见后，逐渐扩大审查范围。 在所有支持部门修改后，委托信息安全管理委员会进行审查。 信息安全战略的制定过程具有高政策性和个性，反复审查过程使战略更明确、简洁、更容易落地，因此有必要在审查过程中激发参加热情。 41、制定流程，审查过程的最后一步一般由总经理、总经理、首席执行官签署。 在员工合同中，必须表明能遵守和继续雇佣的条件。 另外，应该在内部服务器、网页和一些宣传方面分发到显眼的地方，加上上层管理者的签名，以表示信息安全战略文件得到上层领导者的大力支持。 经验表明，高层支持在战略实施上着地非常重要。42、制定流程，一般来说，在信息安全战略文件审查过程中，组织内各方经过多次审查和修订，其中最重要

15、的是信息安全管理委员会。 信息安全委员会一般由信息部门的人员组成，参加者一般包括信息安全、内部审计、物理安全、信息系统、人事、法律、财政、财务部等部门的成员。 这种委员会本质上负责监督信息安全部门的工作，筛选提出的战略，实现整个组织更好的落地。 43、组织安全战略、信息在组织运营和发展中的作用越来越大，信息安全问题备受关注。 信息安全是信息的机密性、完整性和可用性的维持，其最终目标是降低组织的业务风险，保持可持续发展，信息安全问题不仅仅是技术问题，还涉及很多方面(历史、文化、道德、法律、管理、技术等)的综合本文讨论的组织是指处于规定法律环境下的非营利组织，其规模和性质不足以直接改变国家和地区的

16、信息安全法规。44、组织安全战略，1 .组织应该有完整的信息安全战略。 以下示例可以理解这种情况。 某设计院有25名工作人员，每个人有计算机，Windows98对等网络通过集线器连接，公司没有专业的IT管理员。 公司办公室在二楼，同一栋大楼内有很多公司，在一楼门口由赵叔叔负责外来人员的登记，但他经常不知道是不是外来人员。 设计院由市内的清扫公司负责打扫大楼和办公室。 社长陈博士是个老设计师，他经常拨互联网访问设计方面的信息，他的计算机上还安装了代理软件，其他人可以通过这个代理软件访问互联网。如果这个设计院的信息安全管理停留在被搁置的状态下，会发生什么样的问题呢？下一种情况是可能的：45，小偷沿

17、着一楼的防护栏闯进办公室偷了把公司职员打扫干净，送客户的设计方案不小心弄脏了。 不小心把掉在地上的合同当作废纸接收的墙角电源插座掉了一位设计师张老师是公司的骨干，公司提供的设计软件版本太旧，自己安装了盗版的新版本的设计程序。 这个盗版程序使用一段时间后会发生不可理解的错误，程序会关闭，但是张老师喜欢新版本的设计程序，找到了在发生错误时不会丢失文件的方法。 46、张老师出设计院，新员工李先生用了张老师的电脑。 李先生多次抱怨电脑故障，没有人介意，最后决定自己重新安装操作系统和应用程序。 李先生把自己觉得重要的文件备份到陈博士的计算机上，朋友介绍Windows2000很稳定，决定安装Windows2000，所以他将硬盘重新分区，安装成功.47、陈博士不