05安全策略管理.ppt

第5章信息安全策略管理
内容提要
◎信息安全策略的概念
◎信息安全策略的层次
◎信息安全策略的制定
◎信息安全策略的管理及相关技术
信息安全策略的概念
信息安全策略的概念
信息安全策略从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。
安全策略将系统的状态分为两个集合:
已授权的和未授权的。
信息安全策略的概念
制定信息安全策略的目的
如何使用组织中的信息系统资源
如何处理敏感信息
如何采用安全技术产品
信息安全策略通过为每个组织成员提供基本的原则、指南和定义,从而在组织中建立一套信息资源保护标准,防止人员的不安全行为引入风险。
安全策略是进一步制定控制规则和安全程序的必要基础。
信息安全策略的概念
信息安全策略能够解决的问题
敏感信息如何被处理?
如何正确地维护用户身份与口令,以及其他账号信息?
如何对潜在的安全事件和入侵企图进行响应?
如何以安全的方式实现内部网及互联网的连接?
怎样正确使用电子邮件系统?
信息安全策略的层次
信息安全策略的层次
信息安全方针
具体的信息安全策略
信息安全方针
信息安全方针的概念
信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件,是用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。
信息安全方针应包含的内容
信息安全的定义,总体目标和范围,安全对信息共享的重要性;
管理层意图、支持目标和信息安全原则的阐述;
信息安全控制的简要说明,以及依从法律法规要求对组织的重要性;
信息安全管理的一般和具体责任定义,包括报告安全事故等。
具体的信息安全策略
策略包含一套规则,规定了在机构内可接受和不可接受的行为。
为了执行策略,机构必须实施一套标准,以准确定义在工作场所哪些行为是违反规定的,以及机构对该行为的惩罚标准。标准是对策略的行为规则更详细的描述。
在实施过程中,机构应当针对各种违规行为制定一套标准,并列出这些行为的详细资料。实践、过程和指导方针解释了员工应当怎样遵守策略。
具体的信息安全策略
企业信息安全策略
基于问题的安全策略
基于系统的安全策略
企业信息安全策略
企业信息安全策略( EISP)——安全项目策略、总安全策略、IT 安全策略、高级信息安全策略,也就是为整个机构安全工作制定战略方向、范围和策略基调。
EISP 为信息安全的各个领域分配责任,包括信息安全策略的维护、策略的实施、最终用户的责任。
EISP 还特别规定了信息安全项目的制定、实施和管理要求。
EISP 是一个执行级的文档,是由 CISO 与 CIO 磋商后起草的。通常 2 耀 10 页长,它构成了 IT 环境的安全理念。EISP 一般不需要做经常或日常的修改,除非机构的战略方向发生了变化。