信息安全策略和实施方法.pptVIP

* 组织的安全策略 信息安全策略的主体内容 信息安全策略通常不是一篇文档，根据组织的复杂程度还可能分成几个层次，其主题内容各不相同。但是每个主题的策略都应该简洁、清晰的阐明什么行为是组织所望的，提供足够的信息，保证相关人员仅通过策略自身就可以判断哪些策略内容是和自己的工作环境相关的，是适用于哪些信息资产和处理过程的。 * 组织的安全策略 信息安全策略的主体内容 通常一个组织可能会考虑开发下列主题的信息安全策略： 1.??环境和设备的安全 2.??信息资产的分级和人员责任 3.??安全事故的报告与响应 4.??第三方访问的安全性 5.??委外处理系统的安全 6.??人员的任用、培训和职责 7.??系统策划、验收、使用和维护的安全要求 * 组织的安全策略 信息安全策略的主体内容 8.??信息与软件交换的安全 9.??计算级和网络的访问控制和审核 10.远程工作的安全 11.加密技术控制 12.备份、灾难恢复和可持续发展的要求 13.符合法律法规和技术指标的要求 * 组织的安全策略 要衡量一个信息安全策略整体优劣可以考虑的因素包括： 目的性：策略是为组织完成自己的使命而制定的，策略应该反映组织的整体利益和可持续发展的要求； 适用性：策略应该反映组织的真实环境，反映但前信息安全的发展水平； 可行性：策略应该具有切实可行性，其目标应该可以实现，并容易测量和审核。没有可行性的策略不仅浪费时间还