如何制定信息安全策略.pdfVIP

如何制定信息安全策略 中国科技网网络中心安全部 郑勇涛 CISSP 大 纲 1. 简介 2. 制定策略的流程 3. 编写安全策略 4. 策略的实施与维护 1. 简介 问题 网站屡屡被攻击,怎么防范 我不知道该怎么做，你告诉我怎么做 网络泄密了,谁来承担责任 领导不重视,工作难做 制定安全策略的重要性 合规性要求 保护IT资产 责任分解 增强安全意识 指导信息安全工作实施 保证安全的一致性 什么是信息安全策略 策略: 管理者正式发布的总的宗旨和方向。(GB/T 22081) IT安全策略:在某一组织特别是其信息技术系统中，管理、保护和分 发信息技术资产的各种规则、指令和惯例。(信息安全技术术语 ) 安全策略:用于治理组织及其系统内在安全上如何管理、保护和分发 资产（包括敏感信息）的一组规则、指导和实践，特别是那些对系统 安全及相关元素具有影响的资产。 (信息安全技术术语 ) 安全策略：是一种处理安全问题管理策略的描述。策略需要对每一个 安全主题进行描述，探讨其必要性和重要性，解释清楚什么该做，什 么不该做。（审查认证指导手册） 安全策略的种类 规章性策略 遵守特定行业标准和法律； 建议性策略 强烈推荐采取的行为和活动； 指示性策略 告知性内容，教育个及相关特定问题人； 2. 制定策略的流程 管理层批准 组织人员和资源 确定目标和范围 分析需求确定内容 组织编写 审查或评审 管理层批准 是 策略执行 策略开发过程 自上而下开发Top-down 从目标战略逐一细化 自下而上开发Bottom-up 从具体业务需求出发制定具体策略 分析安全策略需求 合规性需求 法律法规要求 合同要求 业务要求 组织内部需求 审查或评审、批准、执行和修订 审查或评审：保证正确性和一致性 批准：法人或管理层权威保证 执行：培训、教育宣贯到个人 修订：持续改进 3. 策略编写 - 安全策略文档大纲 1. 引言或概述 5. 管理及风险评估 1.1 目标 4.1 资产识别 1.2 适用范围 4.2 威胁识别 1.3 策略依据 4.3 风险评估 2. 组织机构及职责 6. 奖惩措施 2.1 网络管理员职责 7. 附则 2.2 网络安全必威体育官网网址员职责 7.1 发布生效时间 2.3 网络安全审计员职责 7.2 解释及修订 3. 技术要求策略