电脑桌面
添加小米粒文库到电脑桌面
安装后可以在桌面快捷访问

infosec-ch14信息安全管理VIP免费

infosec-ch14信息安全管理_第1页
1/34
infosec-ch14信息安全管理_第2页
2/34
infosec-ch14信息安全管理_第3页
3/34
第14章信息安全管理本章学习目标:理解策略的含义掌握策略制定的原则、内容和编写方法熟悉信息安全管理机构的构成了解制定信息安全管理制度的原则了解基本的信息安全法律法规214.1制定信息安全管理策略信息安全管理策略也称信息安全方针,是组织对信息和信息处理设施进行管理、保护和分配的准则和规划,以及使信息系统免遭入侵和破坏而必须采取的措施。它告诉组织成员在日常的工作中什么是必须做的,什么是可以做的,什么是不可以做的;哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全方面的行为规范。一个成功的安全策略应当遵循:1)综合平衡(综合考虑需求、风险、代价等诸多因素)。2)整体优化(利用系统工程思想,使系统总体性能最优)。3)易于操作和确保可靠。14.1.1信息安全管理策略概述314.1制定信息安全管理策略在制定信息安全管理策略时,要严格遵守以下主要原则。1)目的性。策略是为组织完成自己的信息安全使命而制定的,策略应该反映组织的整体利益和可持续发展的要求。2)适用性。策略应该反映组织的真实环境和信息安全的发展水平。3)可行性。策略应该具有切实可行性,其目标应该可以实现,并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。4)经济性。策略应该经济合理,过分复杂和草率都是不可取的。5)完整性。能够反映组织的所有业务流程的安全需要。6)一致性。策略的一致性包括下面三个层次:①和国家、地方的法律法规保持一致;②和组织己有的策略、方针保持一致;③整体安全策略保持一致,要反映企业对信息安全的一般看法。7)弹性。策略不仅要满足当前的组织要求,还要满足组织和环境在未来一段时间内发展的要求。14.1.2制定策略的原则414.1制定信息安全管理策略理论上,一个完整的策略体系应该保障组织信息的机密性、可用性和完整性。信息安全策略应包含下列一些内容:1)适用范围。“”包括人员范围和时效性,例如本规定适用于所有员工,“”适用于工作时间和非工作时间。不仅要消除本该受到约束的员工有认为自己是个例外的想法,也保证策略不至于被误解是针对某个员工的;同时也告诉员工本规定在什么时间发挥效力。2)目标。“例如,为确保企业的经营、技术等机密信息不泄漏,维护”企业的经济利益,根据国家有关法律,结合企业实际,特制定本条例。明确了信息安全保护对公司是有着重要意义的,而且与国家的法律法规是一致的。主题明确的策略可能会有更加确切、详细的目标,如防病毒策略的“目标可以是:为了正确执行对计算机病毒(蠕虫、特洛伊木马、黑客恶意”程序)的预防、侦测和清除过程,特制定本策略。14.1.3策略的主要内容53)策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略:①设备和及其环境的安全。②信息的分级和人员责任。③安全事故的报告与响应。④第三方访问的安全性。⑤外围处理系统的安全。⑥计算机和网络的访问控制和审核。⑦远程工作的安全。⑧加密技术控制。⑨备份、灾难恢复和可持续发展的要求。4)策略签署。信息安全管理策略是强制性的、惩罚性的,策略的执行需要来自管理层的支持,通常是信息安全主管或总经理签署信息安全管理策略。签署人的管理地位不能太低;否则会有执行的难度,如果遭到某高层主管的抵制常会导致策略失败,高层主管的签署也表明信息安全不单单是信息安全部门的事情,还是和整个组织所有成员都是密切相关的。5)策略的生效时间和有效期。旧策略的更新和过时策略的废除也是很重要的,应该保持生效的策略中包含新的安全要求。14.1制定信息安全管理策略14.1.3策略的主要内容(续)66)重新评审策略的时机。策略除了常规的评审时机,在下列情况下也需要重新评审:①企业管理体系发生很大变化。②相关的法律法规发生了变化。③企业信息系统或者信息技术发生了大的变化。④企业发生了重大的信息安全事故。7)与其他相关策略的引用关系。因为多种策略可能相互关联,引用关系可以描述策略的层次结构,而且在策略修改时候也经常涉及其他相关策略的调整,清楚的引用关系可以节省查找的时间。8)策略解释。由于工作环境、知识背景等...

1、当您付费下载文档后,您只拥有了使用权限,并不意味着购买了版权,文档只能用于自身使用,不得用于其他商业用途(如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利)。
2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。
3、如文档内容存在违规,或者侵犯商业秘密、侵犯著作权等,请点击“违规举报”。

碎片内容

infosec-ch14信息安全管理

您可能关注的文档

确认删除?
VIP
微信客服
  • 扫码咨询
会员Q群
  • 会员专属群点击这里加入QQ群
客服邮箱
回到顶部