信息安全策略体系结构、组成及具体内容教程分析.pptVIP

发布安全策略 当安全策略完成之后还需要在组织内成功的进行发布，使组织成员仔细阅读并充分理解策略的内容。可以通过组织主要的信息发布渠道对安全策略进行广泛发布，例如组织的内部信息系统、例会、培训活动等等。 随需修订策略 随着应用环境的变化，信息安全策略也必须随之变化和发展才能继续发挥作用。通常组织应该每季度进行一次策略评估，每年至少应该进行一次策略更新。 安全策略的具体内容 信息安全策略的制定者综合风险评估、信息对业务的重要性，管理考虑、组织所遵从的安全标准，制定组织的信息安全策略，可能包括下面的内容： 加密策略----描述组织对数据加密的安全要求。 使用策略 ---描述设备使用、计算机服务使用和雇员安全规定、以保护组织的信息和资源安全。 安全策略的具体内容 线路连接策略---描述诸如传真发送和接收、模拟线路与计算机连接、拨号连接等安全要求。 反病毒策略---给出有效减少计算机病毒对组织的威胁的一些指导方针，明确在哪些环节必须进行病毒检测。 应用服务提供策略---定义应用服务提供者必须遵守的安全方针。 安全策略的具体内容 审计策略---描述信息审计要求，包括审计小组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求。 电子邮件使用策略---描述内部和外部电子邮件接收、传递的安全要求。 数据库策略-----描述存储、检索、更新等管理数据