05安全策略管理.ppt

第5章 信息安全策略管理 内容提要 ◎信息安全策略的概念 ◎信息安全策略的层次 ◎信息安全策略的制定 ◎信息安全策略的管理及相关技术 5.1 信息安全策略的概念 信息安全策略的概念 信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。 安全策略将系统的状态分为两个集合: 已授权的和未授权的。 5.1 信息安全策略的概念 制定信息安全策略的目的 如何使用组织中的信息系统资源 如何处理敏感信息 如何采用安全技术产品 信息安全策略通过为每个组织成员提供基本的原则、指南和定义，从而在组织中建立一套信息资源保护标准，防止人员的不安全行为引入风险。 安全策略是进一步制定控制规则和安全程序的必要基础。 5.1 信息安全策略的概念 信息安全策略能够解决的问题 敏感信息如何被处理？ 如何正确地维护用户身份与口令，以及其他账号信息？ 如何对潜在的安全事件和入侵企图进行响应？ 如何以安全的方式实现内部网及互联网的连接? 怎样正确使用电子邮件系统？ 5.2 信息安全策略的层次 信息安全策略的层次 信息安全方针 具体的信息安全策略 5.2.1 信息安全方针 信息安全方针的概念 信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件，是用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。 信息安全方针应包含的内容 信息安全的定义，总体目标和范围，安全对信息共享的重要性； 管理层意图、支持目标和信息安全原则的阐述； 信息安全控制的简要说明，以及依从法律法规要求对组织的重要性； 信息安全管理的一般和具体责任定义，包括报告安全事故等。 5.2.2 具体的信息安全策略 策略包含一套规则，规定了在机构内可接受和不可接受的行为。 为了执行策略，机构必须实施一套标准，以准确定义在工作场所哪些行为是违反规定的，以及机构对该行为的惩罚标准。标准是对策略的行为规则更详细的描述。 在实施过程中，机构应当针对各种违规行为制定一套标准，并列出这些行为的详细资料。实践、过程和指导方针解释了员工应当怎样遵守策略。 5.2.2 具体的信息安全策略 企业信息安全策略 基于问题的安全策略 基于系统的安全策略 5.2.2.1 企业信息安全策略 企业信息安全策略（ EISP）——安全项目策略、总安全策略、IT 安全策略、高级信息安全策略，也就是为整个机构安全工作制定战略方向、范围和策略基调。 EISP 为信息安全的各个领域分配责任，包括信息安全策略的维护、策略的实施、最终用户的责任。 EISP 还特别规定了信息安全项目的制定、实施和管理要求 。 EISP 是一个执行级的文档，是由 CISO 与 CIO 磋商后起草的。通常 2 耀 10 页长，它构成了 IT 环境的安全理念。EISP 一般不需要做经常或日常的修改，除非机构的战略方向发生了变化。 5.2.2.1 企业信息安全策略 企业信息安全策略（ EISP）的组成 尽管各个机构的企业信息安全策略有差别，但大多数 EISP 文档应该包括以下要素： 关于企业安全理念的总体看法 机构的信息安全部门结构和实施信息安全策略人员信息 机构所有成员共同的安全责任（员工、承包人、顾问、合伙人和访问者） 机构所有成员明确的、特有的安全责任 注意：应把机构的任务和目标纳入 EISP 中 例：一个好的 EISP 的组成部分 5.2.2.1 企业信息安全策略 5.2.2.1 企业信息安全策略 5.2.2.2 基于问题的安全策略 基于问题的安全策略（ ISSP，Issue-Specific Security Policy）提供了详细的、目标明确的指南，以此来指导所有机构成员如何使用基于技术的系统。 一个有效的 ISSP 是各方（机构和成员）之间的协议，并且显示，为了保障技术不会以不恰当方式被使用，机构已经做出了极大的努力。 ISSP应该让机构成员认识到，策略的目标不是为机构的信息系统遭受破坏后起诉有关责任人提供法律依据，而是为了就哪些技术能否应用到系统中而达成共识。一旦达成了这个共识，员工就可以不用寻求领导批准，而任意使用各种类型的技术。 5.2.2.2 基于问题的安全策略 基于问题的安全策略（ ISSP）应完成的目标 明确地指出机构期望其员工如何使用基于技术的系统。 记录了基于技术的系统的控制过程，并确定这个控制过程和相关的负责机构。 当机构的员工由于使用不当，或者非法操作系统而造成了损失，它可以保护机构不承担该责任。 ISSP 的特性 它是针对特定的、基于技术的系统 它要求不断地升级 它包含一个问题陈述，解释了机构对特定问题的态度 5.2.2.2 基于问题的安全策略 基于问题的安全策略（ IS