企業在建立ISO27001信息安全管理體系中的信息安全策略在解決組織信息安全問題具有十分 重要的地位。在一個大的企業中,信息安全策略的制定者可能是由一個多方人員組成的小組,而在一個中小企業中,信息安全策略的制定者一般是組織的技術管理者。信息安全策略定義了一個框架,用以保護組織的信息資產。安全策略是所有保護措施的基礎,它是對整個企業優先權的描述,明確了驅動安全活動的基本假設。 信息安全策略是一組規則,它們定義了一個組織要實現的安全目標和實現這些安全目標的途徑。這些規則表明了企業高級管理者關于信息安全的決定和管理者對信息 安全的承諾。
基于信息安全策略所做出的與安全相關的決定,應該提供一個高層次 的原則性觀點,在范圍上是全面的。信息安全策略的內容不涉及具體做什么和如何做的問題,與技術方案相比,信息安全策略只是描述一個組織保證信息安全的途徑 的指導性文件,只需指出在信息安全管理方面要完成的目標。信息安全策略對于整個組織提供全局性指導,為具體的安全措施和規定提供一個全局性框架。
信息安全策略的制定者綜合風險評估、信息對業務的重要性,考慮組織所遵從的安全標準,中小企業的信息安全策略主要需要考慮以下具體策略:
1.使用策略——描述設備使用、計算機服務使用和內部員工安全規定、以保護企業的信息和資源安全。
2.加密策略——描述企業對數據加密的安全要求。
3.訪問策略——定義訪問權力,指定用戶、工作團體和管理者可接受的使用準則,以便從失敗或者泄密中保護資產。它應該提供指導性的原則,用以指導外部連接、數據通信、向網絡中連接設備和向系統中添加新的軟件。它還需要指明任何需要通知的信息。
4.職責策略——定義用戶、工作團體和管理者的職責。它應該規定審計能力并提供事故處理準則(也就是說,如果檢測到一個可能的入侵的話,需要做什么以及聯系誰)。
5.線路連接策略——描述諸例如傳真發送和接收、模擬線路與計算機的連接、撥號連接等安全要求。
6.反病毒策略——給出有效減少計算機病毒對企業的信息安全威脅的一些指導方針,明確在哪些環節必須進行病毒檢測。
7.審計策略——描述信息安全審計要求,包括審計小組的人員組成、權限、事故調查、信息安全風險估計、信息安全策略符合程度評價、對用戶和系統活動進行監控等活動的要求。
8.敏感信息策略——對于組織的機密信息進行分級,按照它們的敏感度描述安全要求。
9.電子郵件使用策略——描述組織內部和外部電子郵件接收、傳遞的安全要求。
10.數據庫策略——描述信息的存儲、檢索、更新等管理數據庫數據的安全要求。
11.內部策略——描述對組織內部的各種活動信息安全的要求,使組織的產品、服務和利益受到充分保護。
12.互聯網接入策略——定義在組織防火墻之外的設備和操作的安全要求。
13.遠程訪問策略——定義從組織外部計算機或者網絡連接到組織內部網絡進行外部訪問的安全要求。
14.口令防護策略——定義創建、保護和改變口令的要求。
15.路由器安全策略——定義組織內部路由器與交換機的最低安全配置要求。
16.服務器安全策略——定義組織內部的服務器的最低安全配置要求。
必須要意識到制定和落實信息安全策略是一個長期、艱苦的工作,需要付出艱苦的努力,并且由于牽扯到信息系統許多部門和絕大多數人員,可能需要改變工作方式和 流程,所以推行起來的阻力會相當大。同時信息安全策略本身存在的缺陷,包括不切實可行,太過復雜和繁瑣,部分規定有缺陷等等,都會導致整體策略難以落實。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
