信息安全管理第5章.pptVIP

第五章 信息安全策略;1.信息安全策略制定的前提 －－组织要制定一个科学系统的信息安全策略首先 必须回答下面的问题 组织有那些重要信息资产(信息和信息处理设施) 这些资产面临着什么样的威胁 组织的业务在多大程度上依赖于这些资产 这些资产一旦失效 失控或者泄密会给组织带来多大的损失 资产失效．失控或者泄密的可能性有多大;－－要回答这些问题．组织必须进行风险评估，识 别出重要信息资产和相应的风险 －－一般组织没有能力总结信息安全的所有要 素，ISO17799提供了相应的材料，组织可以根据 自己业务性质和环境从中选择安全要素 －－相关的术语和方法也可以从类似的标准中引用 ;补充： 安全标准之BS 7799 －－BS7799是BSI针对信息安全管理而制定的一 个标准，其最早始于1995年 －－BS 7799分为两个部分:第一部分于2000年被 采纳为ISO/IEC 17799，目前其必威体育精装版版本为2005 版，也就是常说的ISO17799:2005;－－第二部分其必威体育精装版修订版在05年10月正式成为 ISO27001。 －－第一部分是信息安全管理实施细则，其05年 必威体育精装版版本涉及信息安全管理的各个方面:安全策略、 信息安全的组织结构、资产管理、人力资源安全 、物理和环境安全、通信和操作管理、访问控制、 系统采购、开发和维护、信息安全事件管理、业务 连续性管理、符合性（11个安全控制章节，还有 39个主要安全类和133个具体控制措施）;－－第二部分内容是建立信息安全管理体系的一套 规范，其中详细说明了建立、实施和维护信息安全 管理体系的要求，可用来指导相关人员去应用ISO 17799，其最终目的，在于建立适合企业需要的信 息安全管理体系 ;ISO27000 ISO27000－－原理与术语 ISO27001－－信息安全管理体系－要求 （BS7799－2） ISO27002－－信息技术－安全技术－信息安全管 理实践规范（ISO 17799） ISO27003－－信息安全管理体系－风险管理 ISO27004－－信息安全管理体系－指标与测量 ISO27005－－信息安全管理体系－实施指南 ;2. 信息安全策略整体的优劣 （1）目的性：策略是为组织完成自己的使命而制 定的，策略应该反映组织的整体利益和可持 续发展的要求 （2）适用性：策略应该反映组织的真实环境，反 映当前信息安全的发展水平 （3）可行性：策略应该具有切实可行性。其目标 应该可以实现，并容易测量和审核。没有可 行性的策略不仅浪费时间还会引起政策混乱;（4）经济性：策略应该经济合理．过分复杂和草 率都是不可取的 （5）完整性：能够反映组织的所有业务流程安全 需要 （6）弹性：策略不仅要满足当前的组织要求．还 要满足组织和环境在未来一段时间内发展的 要求;（7）一致性：策略的一致性包括下面三个层次： 和国家、地方的法律法规保持一致 和组织已有的策略（方针）保持一致 整体安全策略保持一致．要反映企业对信息安全。 一般看法．保证用户不把该策略看成是不合理的．甚至是针对某个人的 ;－－要开发一系列好的信息安全策略还必须措辞恰 当．良好的措辞可以造就优秀的策略．而很差的用 词则会起到完全相反的结果．所选用的版式和媒体 对策略的效果也会有些影响;3. 如何使信息安全策略得到贯彻 －－得不到贯彻的策略是一纸空文．执行不正确或 者力度不够其效果也会大打折扣 －－信息安全策略的实施其关键是如何把策略准确 传达给每一位相关人员 ;－－要把策略落实到每个人的日常工作中．需要很 多方法的配合使用，比方说策略的分发有一定的技 巧 把策略直接送交读者，并收回旧版本的做法可以保 证读者总是能够得到必威体育精装版的版本 要求读者在策略生效之前签署一个文本，说明已经 收到该版本的策略．并且以及详细阅读且理解了其 中的条款并且愿意遵守这些策略．这样可以引起其 足够重视;－－组织或者部门根据信息安全策略开发或者修改 信息操作程序文件也是一个好办法，即建立一个文 件化的信息安全管理体系．在组织的相应程序文件 中体现策略的有关要求 －－一个程序可能一次或者多次涉及到多条安全 策略，如果组织的程序文件覆盖组织的全部过程， 那么程序文件也应该覆盖组织的所有安全策略。;－－能力和意识的培训也是把策略传达下去的一种 好方法，在组织缺乏程序文件的时候作用更是不可 忽略 －－有针对性的培训，可以让相关人员很快对策略 形成整体的认识和比较深刻的印象．这是公文方式 往往