信息安全管理-信息安全策略管理.pptxVIP

信息安全管理;;第四章信息安全策略管理

随着全球信息化程度越来越高,信息化普及范围越来越广,信息系统所受面临威胁也越来越多,越来越复杂化。鉴于安全管理工作地难度与复杂性,在制定安全措施时需要考虑一套科学,系统地安全策略与执行程序。

本章重点:信息安全策略管理有关概念,信息安全策略规划原则,过程与方法,信息安全策略管理有关技术。

本章难点:信息安全策略规划原则,过程与方法,信息安全策略管理有关技术。;4.1安全策略规划与实施;第四章信息安全策略管理

（1）安全策略涉及地问题敏感信息如何被处理。

如何正确地维护用户身份与口令,以及其它账号信息。如何对潜在地安全事件与入侵企图进行响应。

如何以安全地方式实现内部网及互联网地连接。怎样正确使用电子邮件系统。;第四章信息安全策略管理

（2）安全策略地层次

信息安全方针应当简明,扼要,便于理解,至少应包括以下内容。信息安全地定义,总体目地与范围,安全对信息共享地重要性。

管理层意图,支持目地与信息安全原则地阐述。

信息安全控制地简要说明,以及依从法律法规要求对组织地重要性。信息安全管理地一般与具体责任定义,包括报告安全事故等。;;2．安全程序

安全程序是保障信息安全策略有效实施地,具体化地,过程性地措施,是信息安全策略从抽象到具体,从宏观管理层落实到具体执行层地重要一环。

程序是为进行某项活动所规定地途径或方法。为确保信息安全管理活动地有效性,信息安全管理体系程序通常要求形成文件。;第四章信息安全策略管理

（1）安全程序地组成

信息安全管理程序包括两部分:一是实施控制目地与控制方式地安全控制程序（例如信息处置与储存程序）,另一部分是为覆盖信息安全管理体系地管理与运作地程序（例如:风险评估与管理程序）。程序文件应描述安全控制或管理地责任及有关活动,是信息安全策略地支持性文件,是有效实施信息安全策略,控制目地与控制方式地具体措施。;第四章信息安全策略管理

（2）安全程序涉及地问题

程序文件地内容通常包括:活动地目地与范围（Why）,做什么（What）,谁来做（Who）,何时（When）,何地（Where）,如何做（How）（应使用什么样地材料,设备与文件,如何对活动进行控制与记录）,即人们常说地5W1H。在编写程序文件时,应遵循下列原则。;第四章信息安全策略管理

程序文件一般不涉及纯技术性地细节,细节通常在工作指令或作业指导书中规定。

程序文件是针对影响信息安全地各项活动目地地执行做出地规定,它应阐明影响信息安全地那些管理人员,执行人员,验证与评审人员地职责,权力与相互关系,说明实施各种不同活动地方式,将采用地文件及将采用地控制方式。

程序文件地范围与详细程序应取决于安全工作地复杂程度,所用地方法以及这项活动涉及人员所需地技能,素质与培训程度。

程序文件应当简练,明确与易懂,便其具有可操作件与可检查性。

程序文件应当采用统一地结构与格式编排,便于文件地理解与使用。;4.1.2安全策略地制定与管理

1．安全策略制定过程

（1）理解组织业务特征

对组织业务地了解包括对其业务内容,性质,目地及其价值进行分析,在信息安全中,业务一般是以资产形式表现出来,它包括信息地数据,软件与硬件,无形资产,人员及其能力等。安全风险管理理论认为,对业务资产地适度保护对业务地成功至关重要。要实现对业务资产地有效保护,需要要对资产有很清晰地了解。

对组织文化及人员状况地了解有助于掌握人员地安全意识,心理状况与行为状况,为制定合理地安全策略打下基础。;第四章信息安全策略管理

（2）得到管理层地明确支持与承诺

一是使制定地信息安全策略与组织地业务目地一致;

二是使制定地安全方针,政策与控制措施可以在组织地上上下下得到有效地贯彻;

三是可以得到有效地资源保证。;第四章信息安全策略管理

（3）组建安全策略制定小组

安全策略制定小组地人员组成如下。高级管理人员。

信息安全管理员。信息安全技术人员。

负责安全策略执行地管理人员。用户部门人员。;第四章信息安全策略管理

确定信息安全整体目地

即描述信息安全宏观需求与预期达到地目地。一个典型地目地是:通过防止与最小化安全事故地影响,保证业务持续性,使业务损失最小化,并为业务目地地实现提供保障。

确定安全策略范围

组织需要根据自己地实际情况确定信息安全策略要涉及地范围,可以在整个组织范围内,或者在个别部门或领域制定信息安全策略,这需要与组织实施地信息安全管理体系范围结合起来考虑。;第四章信息安全策略管理

（6）风险评估与选择安全控制

风险评估地工作质量直接影响安全控制地合理选择与安全策略地完备制定。风险评估地结果是选择适合组织地控制目地与控制方式地基础,组织选择出了适合自己安全需求地控制目地与控制方式后,安全策略地制定才有了最直接地依据。;第四章信息安全策略