企業(yè)在建立ISO27001信息安全管理體系中的信息安全策略在解決組織信息安全問題具有十分 重要的地位。在一個大的企業(yè)中,信息安全策略的制定者可能是由一個多方人員組成的小組,而在一個中小企業(yè)中,信息安全策略的制定者一般是組織的技術管理者。信息安全策略定義了一個框架,用以保護組織的信息資產(chǎn)。安全策略是所有保護措施的基礎,它是對整個企業(yè)優(yōu)先權的描述,明確了驅動安全活動的基本假設。 信息安全策略是一組規(guī)則,它們定義了一個組織要實現(xiàn)的安全目標和實現(xiàn)這些安全目標的途徑。這些規(guī)則表明了企業(yè)高級管理者關于信息安全的決定和管理者對信息 安全的承諾。
基于信息安全策略所做出的與安全相關的決定,應該提供一個高層次 的原則性觀點,在范圍上是全面的。信息安全策略的內(nèi)容不涉及具體做什么和如何做的問題,與技術方案相比,信息安全策略只是描述一個組織保證信息安全的途徑 的指導性文件,只需指出在信息安全管理方面要完成的目標。信息安全策略對于整個組織提供全局性指導,為具體的安全措施和規(guī)定提供一個全局性框架。
信息安全策略的制定者綜合風險評估、信息對業(yè)務的重要性,考慮組織所遵從的安全標準,中小企業(yè)的信息安全策略主要需要考慮以下具體策略:
1.使用策略——描述設備使用、計算機服務使用和內(nèi)部員工安全規(guī)定、以保護企業(yè)的信息和資源安全。
2.加密策略——描述企業(yè)對數(shù)據(jù)加密的安全要求。
3.訪問策略——定義訪問權力,指定用戶、工作團體和管理者可接受的使用準則,以便從失敗或者泄密中保護資產(chǎn)。它應該提供指導性的原則,用以指導外部連接、數(shù)據(jù)通信、向網(wǎng)絡中連接設備和向系統(tǒng)中添加新的軟件。它還需要指明任何需要通知的信息。
4.職責策略——定義用戶、工作團體和管理者的職責。它應該規(guī)定審計能力并提供事故處理準則(也就是說,如果檢測到一個可能的入侵的話,需要做什么以及聯(lián)系誰)。
5.線路連接策略——描述諸例如傳真發(fā)送和接收、模擬線路與計算機的連接、撥號連接等安全要求。
6.反病毒策略——給出有效減少計算機病毒對企業(yè)的信息安全威脅的一些指導方針,明確在哪些環(huán)節(jié)必須進行病毒檢測。
7.審計策略——描述信息安全審計要求,包括審計小組的人員組成、權限、事故調(diào)查、信息安全風險估計、信息安全策略符合程度評價、對用戶和系統(tǒng)活動進行監(jiān)控等活動的要求。
8.敏感信息策略——對于組織的機密信息進行分級,按照它們的敏感度描述安全要求。
9.電子郵件使用策略——描述組織內(nèi)部和外部電子郵件接收、傳遞的安全要求。
10.數(shù)據(jù)庫策略——描述信息的存儲、檢索、更新等管理數(shù)據(jù)庫數(shù)據(jù)的安全要求。
11.內(nèi)部策略——描述對組織內(nèi)部的各種活動信息安全的要求,使組織的產(chǎn)品、服務和利益受到充分保護。
12.互聯(lián)網(wǎng)接入策略——定義在組織防火墻之外的設備和操作的安全要求。
13.遠程訪問策略——定義從組織外部計算機或者網(wǎng)絡連接到組織內(nèi)部網(wǎng)絡進行外部訪問的安全要求。
14.口令防護策略——定義創(chuàng)建、保護和改變口令的要求。
15.路由器安全策略——定義組織內(nèi)部路由器與交換機的最低安全配置要求。
16.服務器安全策略——定義組織內(nèi)部的服務器的最低安全配置要求。
必須要意識到制定和落實信息安全策略是一個長期、艱苦的工作,需要付出艱苦的努力,并且由于牽扯到信息系統(tǒng)許多部門和絕大多數(shù)人員,可能需要改變工作方式和 流程,所以推行起來的阻力會相當大。同時信息安全策略本身存在的缺陷,包括不切實可行,太過復雜和繁瑣,部分規(guī)定有缺陷等等,都會導致整體策略難以落實。
中企檢測認證網(wǎng)提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理,文章版權歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權和其它問題,請跟我們聯(lián)系刪除并致歉!
