信息安全管理第五章节.pptVIP

第五章 信息安全策略 相声：逗你玩 1.信息安全策略制定的前提 －－组织要制定一个科学系统的信息安全策略首先 必须回答下面的问题 组织有那些重要信息资产(信息和信息处理设施) 这些资产面临着什么样的威胁 组织的业务在多大程度上依赖于这些资产 这些资产一旦失效 失控或者泄密会给组织带来多大的损失 资产失效．失控或者泄密的可能性有多大 －－要回答这些问题．组织必须进行风险评估，识 别出重要信息资产和相应的风险 －－一般组织没有能力总结信息安全的所有要 素，ISO17799提供了相应的材料，组织可以根据 自己业务性质和环境从中选择安全要素 －－相关的术语和方法也可以从类似的标准中引用 补充： 安全标准之BS 7799 －－BS7799是BSI针对信息安全管理而制定的一 个标准，其最早始于1995年 －－BS 7799分为两个部分:第一部分于2000年被 采纳为ISO/IEC 17799，目前其必威体育精装版版本为2005 版，也就是常说的ISO17799:2005 －－第二部分其必威体育精装版修订版在05年10月正式成为 ISO27001。 －－第一部分是信息安全管理实施细则，其05年 必威体育精装版版本涉及信息安全管理的各个方面:安全策略、 信息安全的组织结构、资产管理、人力资源安全 、物理和环境安全、通信和操作管理、访问控制、 系统采购、开发和维护、信息安全事件管理、业务 连续性管理、符合性（11个安全控制章节，还有 39个主要安全类和133个具体控制措施） －－第二部分内容是建立信息安全管理体系的一套 规范，其中详细说明了建立、实施和维护信息安全 管理体系的要求，可用来指导相关人员去应用ISO 17799，其最终目的，在于建立适合企业需要的信 息安全管理体系 ISO27000 ISO27000－－原理与术语 ISO27001－－信息安全管理体系－要求 （BS7799－2） ISO27002－－信息技术－安全技术－信息安全管 理实践规范（ISO 17799） ISO27003－－信息安全管理体系－风险管理 ISO27004－－信息安全管理体系－指标与测量 ISO27005－－信息安全管理体系－实施指南 2. 信息安全策略整体的优劣 （1）目的性：策略是为组织完成自己的使命而制 定的，策略应该反映组织的整体利益和可持 续发展的要求 （2）适用性：策略应该反映组织的真实环境，反 映当前信息安全的发展水平 （3）可行性：策略应该具有切实可行性。其目标 应该可以实现，并容易测量和审核。没有可 行性的策略不仅浪费时间还会引起政策混乱 （4）经济性：策略应该经济合理．过分复杂和草 率都是不可取的 （5）完整性：能够反映组织的所有业务流程安全 需要 （6）弹性：策略不仅要满足当前的组织要求．还 要满足组织和环境在未来一段时间内发展的 要求 （7）一致性：策略的一致性包括下面三个层次： 和国家、地方的法律法规保持一致 和组织已有的策略（方针）保持一致 整体安全策略保持一致．要反映企业对信息安全。 一般看法．保证用户不把该策略看成是不合理的．甚至是针对某个人的 －－要开发一系列好的信息安全策略还必须措辞恰 当．良好的措辞可以造就优秀的策略．而很差的用 词则会起到完全相反的结果．所选用的版式和媒体 对策略的效果也会有些影响 3. 如何使信息安全策略得到贯彻 －－得不到贯彻的策略是一纸空文．执行不正确或 者力度不够其效果也会大打折扣 －－信息安全策略的实施其关键是如何把策略准确 传达给每一位相关人员 －－要把策略落实到每个人的日常工作中．需要很 多方法的配合使用，比方说策略的分发有一定的技 巧 把策略直接送交读者，并收回旧版本的做法可以保 证读者总是能够得到必威体育精装版的版本 要求读者在策略生效之前签署一个文本，说明已经 收到该版本的策略．并且以及详细阅读且理解了其 中的条款并且愿意遵守这些策略．这样可以引起其 足够重视 －－组织或者部门根据信息安全策略开发或者修改 信息操作程序文件也是一个好办法，即建立一个文 件化的信息安全管理体系．在组织的相应程序文件 中体现策略的有关要求 －－一个程序可能一次或者多次涉及到多条安全 策略，如果组织的程序文件覆盖组织的全部过程， 那么程序文件也应该覆盖组织的所有安全策略。 －－能力和意识的培训也是把策略传达下去的一种 好方法，在组织缺乏程序文件的时候作用更是不可 忽略 －－有针对性的培训，可以让相关