当前位置:
文档之家› 信息安全管理-信息安全策略管理
信息安全管理-信息安全策略管理
在信息安全中,业务一般是以资产形式表现出来,它包括信息的数据、软件 和硬件、无形资产、人员及其能力等。安全风险管理理论认为,对业务资产 的适度保护对业务的成功至关重要。要实现对业务资产的有效保护,必须要 对资产有很清晰地了解。
对组织文化及人员状况的了解有助于掌握人员的安全意识、心理状况和 行为状况,为制定合理的安全策略打下基础。
信息安全管理程序包括两部分:一是实施控制目标与控制方式的安全控 制程序(例如信息处置与储存程序),另一部分是为覆盖信息安全管理体系 的管理与运作的程序(例如:风险评估与管理程序)。程序文件应描述安全 控制或管理的责任及相关活动,是信息安全策略的支持性文件,是有效实施 信息安全策略、控制目标与控制方式的具体措施。
程序文件的范围和详细程序应取决于安全工作的复杂程度、所用的方法以 及这项活动涉及人员所需的技能、素质和培训程度。
程序文件应当简练、明确和易懂,便其具有可操作件和可检查便于文件的理解与使用。
信息安全 策略管理
(1)理解组织业务特征 对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析,
信息安全 策略管理
(2)得到管理层的明确支持与承诺 一是使制定的信息安全策略与组织的业务目标一致; 二是使制定的安全方针、政策和控制措施可以在组织的上上下下得到有效
的贯彻; 三是可以得到有效的资源保证。
信息安全 策略管理
(3)组建安全策略制定小组 安全策略制定小组的人员组成如下。
信息安全 策略管理
安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施, 是信息安全策略从抽象到具体,从宏观管理层落实到具体执行层的重要一环。
程序是为进行某项活动所规定的途径或方法。为确保信息安全管理活动 的有效性,信息安全管理体系程序通常要求形成文件。
信息安全 策略管理
(1)安全程序的组成
信息安全 策略管理
(2)安全程序涉及的问题 程序文件的内容通常包括:活动的目的与范围(Why)、做什么(What)、
谁来做(Who)、何时(When)、何地(Where)、如何做(How)(应使用什么 样的材料、设备和文件,如何对活动进行控制和记录),即人们常说的“5W1H”。 在编写程序文件时,应遵循下列原则。
信息安全 策略管理
(1)安全策略涉及的问题 敏感信息如何被处理。 如何正确地维护用户身份与口令,以及其他账号信息。 如何对潜在的安全事件和入侵企图进行响应。 如何以安全的方式实现内部网及互联网的连接。 怎样正确使用电子邮件系统。
信息安全 策略管理
(2)安全策略的层次 信息安全方针应当简明、扼要,便于理解,至少应包括以下内容。
信息安全的定义、总体目标和范围,安全对信息共享的重要性。 管理层意图、支持目标和信息安全原则的阐述。 信息安全控制的简要说明,以及依从法律法规要求对组织的重要性。 信息安全管理的一般和具体责任定义,包括报告安全事故等。
信息安全 策略管理
具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果, 为保证控制措施的有效执行而制定的明确具体的信息安全实施规则。表4.1列 出了一些常用的信息安全策略。
信息安全 策略管理
程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书 中规定。
程序文件是针对影响信息安全的各项活动目标的执行做出的规定,它应阐 明影响信息安全的那些管理人员、执行人员、验证与评审人员的职责、权 力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的 控制方式。
策略名称 网络设备安全
服务器安全
信息分类
信息保密 用户账户与口令
远程访问 反病毒
防火墙及入侵检测
安全事件调查与响应
灾难恢复与业务持续性计划 风险评估
信息系统审计
表4.1 常用的信息安全策略
内容说明 定义组织信息系统环境中网络设备的最小安全需求,包括各类交换机和路由器等。 定义组织信息系统环境中服务器的最小安全需求,包括各类应用系统服务器、数据库服务器 和事务处理服务器等。 对信息资产要有详细的记录与分类,并作适当的价值与重要性评估,以便采用相对的安全措 施来保护其机密性、完整性与可用性。 定义组织中的哪些敏感信息必须进行加密保护,并采用什么样的加密算法。 定义用户账号及口令的规范,及采用、保护和改变口令的标准。 定义外部用户通过网络连接访问组织内部信息资源的规则和要求。 定义组织中预防病毒与检测病毒的技术与管理措施。 定义组织中预防与检测外部非法入侵所采用的技术与管理措施。 对于组织中发生的任何安全事件,组织人员都要及时报告给相关信息安全部门与人员,安全 事件要得到及时的调查与处置。 定义灾难发生时,应对灾难的措施与程序,相关人员的职责和联系办法等。 为信息安全人员识别、评估和控制风险提供授权和定义需求。 为信息安全人员实施风险评估和审计活动,提供授权和定义需求,以保证信息与资源的完整 性,与法律规范的符合性,并监测系统和用户活动。
信息安全管理
目录
Contents Page
01 安全策略规划与实施 02 安全策略的管理过程 03 安全策略的描述与翻译 04 安全策略冲突检测与消解
第2 页
信息安全 策略管理
随着全球信息化程度越来越高,信息化普及范围越来越广,信息系统所 受面临威胁也越来越多,越来越复杂化。鉴于安全管理工作的难度和复杂性 ,在制定安全措施时必须考虑一套科学、系统的安全策略和执行程序。
➢ 本章重点:信息安全策略管理相关概念,信息安全策略规划原则、过程与 方法,信息安全策略管理相关技术。
➢ 本章难点:信息安全策略规划原则、过程与方法,信息安全策略管理相关 技术。
信息安全 策略管理
4.1 安全策略规划与实施
信息安全策略从本质上来说是描述组织具有哪些重要信息资产,并说明 这些信息资产如何被保护的计划。制定信息安全策略的目的是对组织成员阐 明如何使用组织中的信息系统资源、如何处理敏感信息、如何采用安全技术 产品,用户在使用信息时应当承担什么样的责任,详细描述对人员的安全意 识与技能要求,列出被组织禁止的行为。