长治久安：信息安全治理.pdfVIP

d

_

-

yI

cRNA

bUV

�/ration

com

ation

ro

-n+_＿J

一，／7

长治久安：信息安全治理

X匣坦i///

信息安全治理—

·业务信息和处理此类信息的系统已成为当今大多数组织

的关键资产。事实上，信息已成为现代组织的命脉，也

是大多数业务流程的核心。这些信息用千公司的各个层

面一从最高到最低。因此，必须适当保护此类业务信

息和系统。事实上，由千滥用或泄露的信息可能会损害

甚至破坏组织，因此必须妥善保护这一重要资产，井且

组织中的每个人都参与全面的信息安全过程。因此，这

种保护的责任从最高层开始，一直延伸到操作层面。

“

·一个组织的信息是其最宝贵的资产之一，对其成功至

关重要。因此，董事会对组织的成功负有最终责任，负

责保护其信息。只有通过有效的管理才能保护这些信息，

只有通过有效的董事会监督才能确保这些信息。（信息

安全管理和保证一公司治理行动呼吁，2000年）。

X匣坦i///

—政策

·安全政策代表组织的高级领导层对其安全管理计划及其执行

该计划的方式提出的要求。个别安全策略构成了总体策略，并

且是内部治理的基石。

·政策为组织人员提供指导。政策规定了组织人员必须满足的

要求。请注意，政策和其他内部治理文件被视为管理控制。

政策没有详细说明一一它们只是陈述要求。大多数政策还列

出了管理或实施这些政策的人员的角色和职责。政策规定了

要求；它规定了必须做什么，有时甚至规定了为什么必须这

样做。政策是强制性的。

·政策通常应该简短明了。政策文件应说明政策的具体范围和目

的，当与外部治理相关时，政策应说明其支持哪些法律或法

规。政策文件还可以说明不遵守政策的后果。最后，高级

管理人员应签署和批准政策文件，因为这表明管理层对政策

的承诺。

·从安全政策可引出完整安全解决方案所需的其他很多文档或

子元素。政策是一种概述，而标准、基线、指南和程序包括

关千实际安全解决方案的更具体、更详细的信息。标准处千

安全政策的下一级别。

X匣坦i///

标准

标准