05安全策略管理.pptVIP

第5章 信息安全策略管理 内容提要 ◎信息安全策略的概念 ◎信息安全策略的层次 ◎信息安全策略的制定 ◎信息安全策略的管理及相关技术 5.1 信息安全策略的概念 信息安全策略的概念 信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。 安全策略将系统的状态分为两个集合: 已授权的和未授权的。 5.1 信息安全策略的概念 制定信息安全策略的目的 如何使用组织中的信息系统资源 如何处理敏感信息 如何采用安全技术产品 信息安全策略通过为每个组织成员提供基本的原则、指南和定义，从而在组织中建立一套信息资源保护标准，防止人员的不安全行为引入风险。 安全策略是进一步制定控制规则和安全程序的必要基础。 5.1 信息安全策略的概念 信息安全策略能够解决的问题 敏感信息如何被处理？ 如何正确地维护用户身份与口令，以及其他账号信息？ 如何对潜在的安全事件和入侵企图进行响应？ 如何以安全的方式实现内部网及互联网的连接? 怎样正确使用电子邮件系统？ 5.2 信息安全策略的层次 信息安全策略的层次 信息安全方针 具体的信息安全策略 5.2.1 信息安全方针 信息安全方针的概念 信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件，是用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。 信息安全方