信息安全管理 34P.ppt.pptVIP

* 信息安全管理 本章学习目标： 理解策略的含义 掌握策略制定的原则、内容和编写方法 熟悉信息安全管理机构的构成 了解制定信息安全管理制度的原则 了解基本的信息安全法律法规 14.1 制定信息安全管理策略 　　信息安全管理策略也称信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的准则和规划，以及使信息系统免遭入侵和破坏而必须采取的措施。它告诉组织成员在日常的工作中什么是必须做的，什么是可以做的，什么是不可以做的；哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全方面的行为规范。一个成功的安全策略应当遵循： 1）综合平衡(综合考虑需求、风险、代价等诸多因素)。 2）整体优化(利用系统工程思想，使系统总体性能最优)。 3）易于操作和确保可靠。 14.1.1 信息安全管理策略概述 14.1 制定信息安全管理策略 　 在制定信息安全管理策略时，要严格遵守以下主要原则。 1）目的性。策略是为组织完成自己的信息安全使命而制定的，策略应该反映组织的整体利益和可持续发展的要求。 2）适用性。策略应该反映组织的真实环境和信息安全的发展水平。 3）可行性。策略应该具有切实可行性，其目标应该可以实现，并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。 4）经济性。策略