《02制定安全计划.pptVIP

第2章 制定安全计划 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 内容提要 ◎计划的组成部分 ◎制定机构计划 ◎计划分级 ◎信息安全实施计划 ◎安全系统开发生命周期 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1 计划的组成部分 为了有效地推行一个计划，机构的领导者必须首先制定文档，清楚地说明机构的道德观念、企业理念和哲学理念。 任务 前景 价值声明 战略 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1 计划的组成部分 任务（mission） 一个机构的任务声明（ mission statement）就是明确地界定机构的业务及其操作范围。从某种意义上说，它就是机构的身份证。例如： xxx公司为行业用户提供信息化整体解决方案 。 对于信息安全部门而言，它们可以承诺保证信息的机密性、完整性、可用性或者像下面那样，提供一份更加详细的信息安全部门职能的描述。这个任务声明应该出现在机构整体计划的“信息安全角色及其相关责任”这一部分当中。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1 计划的组成部分 信息安全部门负责识别、评估和恰当地管理 X 公司的信息和信息系统所面临的风险。 它评价应对风险的各种方案，和全公司的其他部门一起商定解决方案，并采用恰当的方式主动地响应同样的风险。 信息安全部门还负责制定适用于整个机构和外部信息系统（例如外部网）的安全要求，（这些要求包括策略、标准、过程）。 最重要的是，该部门全权负责对 X 公司的信息系统带来潜在威胁的所有事务，包括设法避免、阻止、检测各种威胁或恢复系统。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1 计划的组成部分 这些威胁包括（但不局限于）以下几条： 非授权存取信息 非授权使用信息 非授权暴露信息 非授权分割信息 非授权更改信息 非授权破坏信息 非授权复制信息 无效信息 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1 计划的组成部分 前景 计划的第 2 个组成部分是前景声明（ vision statement）。和任务声明相比，后者解释机构是什么，而前者解释机构希望成为什么。因此，前景声明应该是雄心勃勃的。毕竟，它们代表一个机构的志向，并展现了机构的未来。换句话说，前景声明描述的是公司的美好未来。一些机构往往混淆了前景声明和任务声明之间的区别，xxx 的前景声明如下： 让 xxx 公司成为 xx行业需求用户的首选，让每一个需要 xx解决方案的用户都使用xxx 的产品。 这是非常醒目、且雄心勃勃的前景声明。即使它看起来不太现实，但前景声明并不意味着可行，而仅仅是可能。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1 计划的组成部分 价值声明 计划的第 3 个组成部分是价值声明。股东和公众的信任、信心对任何机构来说都是很重要的因素。通过在价值声明中确立一套正式的机构原则、标准、品质以及评估行为的基准，机构就能让员工和公众清楚地把握其经营和业绩状况。 正直、诚实、激情和尊重别人是微软的企业哲学，xxx的价值声明如下： “xxx 重视承诺、向员工强调正直、诚实和具有社会责任感，努力使其服务与公司