信息安全管理信息安全策略管理.pdf

第 1 页 信息安全管理 第四章 信息安全策略管理 第 2 页 目 录 Contents Page 4.1 安全策略规划与实施 4.2 安全策略的管理过程 4.3 安全策略的描述与翻译 4.4 安全策略冲突检测与消解 第四章 第四章 4.1 安全策略规划与实施 第 3 页 信息安全 信息安全 策略管理 策略管理 4.1.1 安全策略的内涵 1）安全策略 信息安全策略从本质上来说是描述组织具有哪些重要信息资产 ，并说明这些信息资产如何被保护 的一个计划。制定信息安全策略的目的是对组织成员阐明如何使用组织中的信息系统资源、如何处理 敏感信息、如何采用安全技术产品，用户在使用信息时应当承担什么样的责任，详细描述对人员的安 全意识与技能要求，列出被组织禁止的行为。 （1 ）安全策略涉及的问题  敏感信息如何被处理？  如何正确地维护用户身份与口令，以及其他账号信息？  如何对潜在的安全事件和入侵企图进行响应？  如何以安全的方式实现内部网及互联网的连接？  怎样正确使用电子邮件系统？ 第四章 第四章 4.1 安全策略规划与实施 第 4 页 信息安全 信息安全 策略管理 策略管理 4.1.1 安全策略的内涵 1）安全策略 信息安全策略从本质上来说是描述组织具有哪些重要信息资产 ，并说明这些信息资产如何被保护 的一个计划。制定信息安全策略的目的是对组织成员阐明如何使用组织中的信息系统资源、如何处理 敏感信息、如何采用安全技术产品，用户在使用信息时应当承担什么样的责任，详细描述对人员的安 全意识与技能要求，列出被组织禁止的行为。 （2 ）安全策略的层次 l 信息安全方针 • 组织的信息安全委员会或管理机构制定的一个高层文件，用于指导组织如何对资产，包括 敏感性信息进行管理、保护和分配的规则和指示 l 具体的信息安全策略 • 在信息安全方针的框架内，根据风险评估的结果，为保证控制措施的有效执行而制定的明 确具体的信息安全实施规则 第四章 第四章 4.1 安全策略规划与实施 第 5 页 信息安全 信息安全 策略管理 策略管理 4.1.1 安全策略的内涵 2）安全程序 安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施 ，是信息安全策略从抽象到 具体，从宏观管理层落实到具体执行层的重要一环。 （1 ）安全程序的组成 l 实施控制目标与控制方式的安全控制程序 l 为覆盖信息安全管理体系的管理与运作的程序 第四章 第四章 4.1 安全策略规划与实施 第 6 页 信息安全 信息安全 策略管理 策略管理 4.1.1 安全策略的内涵