安全规划信息安全管理王春东武汉大学出版社.pptxVIP

第4章 安全规划 学习目标： 管理人员在信息安全政策、标准、实践、过程及方针的发展、维护和实施中的作用。 英国标准协会（BSI）制订的《信息安全管理标准》（BS 7799）。 安全管理策略的制定与实施以及制定和实施安全策略时要注意的问题。 机构如何通过教育、培训和意识提升计划，使它的政策、标准和实践制度化。 什么是意外事故计划，它与事件响应计划、灾难恢复计划和业务持续性计划有什么关系。;4.1引言 ? 要建立信息安全计划，应首先建立和检查机构的信息安全政策和程序，然后，选择或建立信息安全体系结构，开发和使用详细的信息安全蓝本，为将来的成功制定计划。机构的信息安全蓝本只有与信息安全政策相互配合，才能起作用。没有政策、蓝本和计划，机构就不能满足各个利益团体的信息安全需求。在现代机构中，计划的作用无论怎样强调都不过分。除了最小的机构之外，其他机构都承担着制定计划的任务：管理资源分配的策略计划和为商业环境的不确定做准备的意外事故计划。; 4.2信息安全政策与程序 4.2.1为什么要制定安全政策与程序 在当今快速发展的信息社会中，由信息技术支持的业务活动在技术、环境、管理等方面的脆弱性在不断增加，组织业务信息的安全性与业务持续性面临着各种各样的威胁，在保障组织正常运营的过程中，信息安全充当着极其重要的角色。; 在国内，大部分企业对信息安全的理解还只停留在技术层面上，以为企业外部网建立了防火墙能防黑客，内部网能杀病毒就达到安全要求了。最近国内的几次安全事件，如亚信的电信方案被盗版，华为与美国思科及上海沪科的知识产权诉讼案都生动地告诉我们，在信息安全中最活跃的因素是人，人的因素比技术因素更重要。;为更有效地实施信息安全政策，需要制定详细的执行程序。例如，防范恶意软件的安全政策就需要建立一套完整的防范恶意软件的控制程序。安全程序是保障信息安全政策能有效实施的、具体化的、过程性的措施，是信息安全政策从抽象到具体，从宏观管理层落实到具体执行层的重要一环。; 4.2.2什么是信息安全政策与程序 1．安全政策的内容 信息安全政策从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目的就是对组织中的成员阐明如何使用组织中的信息系统资源，如何处理敏感信息，如何采用安全技术产品，用户在使用信息时应当承担什么样的责任，详细描述对员工的安全意识与技能要求，列出被组织禁止的行为。; 建立了信息安全政策，就设置了组织的信息安全基础，可以使员工了解与自己相关的信息安全保护责任，强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。 （1）安全政策涉及的问题 制定政策是规范各种保护组织信息资源的安全活动的重要一步，安全政策可以由组织中的安全负责人、业务人员、信息系统专家等制订，但最终都必须由组织的高级管理人员批准和发布。 一个好的安全政策应当能解决如下所示问题： 敏感信息如何被处理? 如何正确地维护用户身份与口令，以及其他账号信息? 如何对潜在的安全事件、入侵企图进行响应? 怎样以安全的方式实现内部网及互联网的连接? 怎样正确使用电子邮件系统?; （2）信息安全政策的层次 信息安全政策可以分为两个层次，一个是信息安全方针，另一个是具体的信息安全策略。 所谓信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应当简明、扼要，便于理解，但至少应包括以下内容： 信息安全的定义，总体目标、范围，安全对信息共享的重要性； 管理层意图、支持目标和信息安全原则的阐述； 信息安全控制的简要说明，以及依从法律、法规要求对组织的重要性； 信息安全管理的一般和具体责任定义，包括报告安全事故。 具体的信息安全策略是在信息安全方针的框架内，根据风险评估的结果，为保证控制措施的有效执行而制定的明确具体的信息安全实施规则。; 信息安全中一般有3种政策： 企业信息安全政策（Enterprise information security policy,EISP） 特定问题安全政策（An issue-specific security policy,ISSP） 特定系统政策（System-specific policies,SysSP） 下面将具体介绍一下每种政策。; 企业信息安全政策（EISP）。企业信息安全政策（EISP）也称为一般安全政策、IT安全政策和信息安全政策。EISP基于机构的任务、构想和方向，并直接支持它们。EISP为所有的安全工作制定战略方向、范围以及基调。它是一个行政级别的文件，通常由机构的首席