05安全策略管理.ppt

第5章信息安全策略管理
内容提要
◎信息安全策略的概念
◎信息安全策略的层次
◎信息安全策略的制定
◎信息安全策略的管理及相关技术
信息安全策略的概念
信息安全策略的概念
信息安全策略从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。
安全策略将系统的状态分为两个集合:
已授权的和未授权的。
信息安全策略的概念
制定信息安全策略的目的
如何使用组织中的信息系统资源
如何处理敏感信息
如何采用安全技术产品
信息安全策略通过为每个组织成员提供基本的原则、指南和定义,从而在组织中建立一套信息资源保护标准,防止人员的不安全行为引入风险。
安全策略是进一步制定控制规则和安全程序的必要基础。
信息安全策略的概念
信息安全策略能够解决的问题
敏感信息如何被处理?
如何正确地维护用户身份与口令,以及其他账号信息?
如何对潜在的安全事件和入侵企图进行响应?
如何以安全的方式实现内部网及互联网的连接?
怎样正确使用电子邮件系统?
信息安全策略的层次
信息安全策略的层次
信息安全方针
具体的信息安全策略
具体的信息安全策略
企业信息安全策略
基于问题的安全策略
基于系统的安全策略
企业信息安全策略
企业信息安全策略( EISP)——安全项目策略、总安全策略、IT 安全策略、高级信息安全策略,也就是为整个机构安全工作制定战略方向、范围和策略基调。
EISP 为信息安全的各个领域分配责任,包括信息安全策略的维护、策略的实施、最终用户的责任。
EISP 还特别规定了信息安全项目的制定、实施和管理要求。
EISP 是一个执行级的文档,是由 CISO 与 CIO 磋商后起草的。通常 2 耀 10 页长,它构成了 IT 环境的安全理念。EISP 一般不需要做经常或日常的修改,除非机构的战略方向发生了变化。