7信息安全策略.ppt

信息安全策略 目录 一、信息安全策略概述 1.信息安全策略的定义 计算机安全研究组织SANS：“为了保护存储在计算机中的信息，安全策略要确定必须做什么，一个好的策略有足够多‘做什么’的定义，以便于执行者确定‘如何做’，并且能够进行度量和评估”。 一组规则，这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。 信息安全策略是一个组织关于信息安全的基本指导规则。 信息安全策略提供：信息保护的内容和目标，信息保护的职责落实，实施信息保护的方法，事故的处理 信息安全方针 信息安全方针就是组织的信息安全委员会或管理机构 制定的一个高层文件，是用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。 信息安全的定义，总体目标和范围，安全对信息共享 的重要性； 管理层意图、支持目标和信息安全原则的阐述； 信息安全控制的简要说明，以及依从法律法规要求对 组织的重要性； 信息安全管理的一般和具体责任定义，包括报告安全 事故等。 安全程序 安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施，是信息安全策略从抽象到具体，从宏观管理层落实到具体执行层的重要一环。 程序是为进行某项活动所规定的途径或方法。 信息安全管理程序包括： 实施控制目标与控制方式的安全控制程序； 为覆盖信息安全管理体系的管理与运作的程序 2.信息安全策略的特点 指导性 原则性 可审核性 非技术性 现实可行性 动态性 文档化 3.信息安全策略的地位 必须有相应的措施保证信息安全策略得到强制执行 管理层不得允许任何违反信息安全策略的行为存在 信息安全策略必须有清晰和完全的文档描述 需要根据业务情况的变化不断的修改和补充信息安全策略 4.功能 信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序，定义安全角色赋予管理职责，陈述组织的安全目标，为安全措施在组织的强制执行建立相关舆论与规则的基础。 信息安全策略的保护对象 信息安全策略的设计范围 信息安全策略的设计范围 信息安全策略的设计范围 安全策略的格式 1.目标 2.范围 3.策略内容 4.角色责任 5.执行纪律 6.专业术语 7.版本历史 安全策略的格式 1.目标 建立信息系统安全的总体目标，定义信息安全的管理结构和提出对组织成员的安全要求 。 信息安全策略必须有一定的透明度并得到高层管理层的支持，这种透明度和高层支持必须在安全策略中有明确和积极的反映。 信息安全策略要对所有员工强调“信息安全，人人有责”的原则，使员工了解自己的安全责任与义务。 安全策略的格式 2.范围 信息安全策略应当有足够的范围广度，包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下，安全可以定义特殊的资产，比如：组织的主站点、各种重要装置和大型系统。此外，还应包括组织所有信息资源类型的综述，例如，工作站、局域网、单机等。 安全策略的格式 3.策略内容 根据ISO17799中定义，对信息安全策略的描述应该集中在三个方面：机密性、完整性和可用性，这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问，其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的，信息不能被丢失、损坏，只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息，信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。 安全策略的格式 3.策略内容 根据给定的环境，应当给员工明确描述与这些特性相关的信息安全要求，组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标， 例如，组织在维护大型但机密性要求并不高的数据库时，其安全目标主要是减少错误、数据丢失或数据破坏；如果组织对数据的机密性要求高时，安全目标的重点就会转移到防止数据的非授权泄露。 安全策略的格式 4.角色责任 信息安全策略除了要建立安全程序及程序管理职责外，还需要在组织中定义各种角色并分配责任，明确要求，比如：部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。 在某些情况下，信息安全策略中要理顺组织中的各种个体与团体的关系，以避免在履行各自的责任与义务时发生冲突。 安全策略的格式 5.执行纪律 没有一个正式的、文件化的安全策略，管理层不可能制定出惩戒执行标准与机制，信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。 还要考虑到有时员工违反安全策略并非是有意的，有时也可能是对安全策略缺乏必要的了解造成的。对于这种情况，信息安全策略要预先采取措施，在合理的期限内，进行相关安全策略介绍和安全意识教育培训。 安全策略的格式 6.专业术语 对于信息安全策略中涉及的专业术