ISO27001信息安全策略需要從16個(gè)方面著手考慮
企業(yè)在建立ISO27001信息安全管理體系中的信息安全策略在解決組織信息安全問(wèn)題具有十分重要的地位?在一個(gè)大的企業(yè)中,ISO27001信息安全策略的制定者可能是由一個(gè)多方人員組成的小組,而在一個(gè)中小企業(yè)中,信息安全策略的制定者一般是組織的技術(shù)管理者?信息安全策略定義了一個(gè)框架,用以保護(hù)組織的信息資產(chǎn)?ISO27001安全策略是所有保護(hù)措施的基礎(chǔ),它是對(duì)整個(gè)企業(yè)優(yōu)先權(quán)的描述,明確了驅(qū)動(dòng)安全活動(dòng)的基本假設(shè)?信息安全策略是一組規(guī)則,它們定義了一個(gè)組織要實(shí)現(xiàn)的安全目標(biāo)和實(shí)現(xiàn)這些安全目標(biāo)的途徑?這些規(guī)則表明了企業(yè)高級(jí)管理者關(guān)于信息安全的決定和管理者對(duì)信息安全的承諾?
基于ISO27001信息安全策略所做出的與安全相關(guān)的決定,應(yīng)該提供一個(gè)高層次的原則性觀(guān)點(diǎn),在范圍上是全面的?信息安全策略的內(nèi)容不涉及具體做什么和如何做的問(wèn)題,與技術(shù)方案相比,信息安全策略只是描述一個(gè)組織保證信息安全的途徑的指導(dǎo)性文件,只需指出在信息安全管理方面要完成的目標(biāo)?ISO27001信息安全策略對(duì)于整個(gè)組織提供全局性指導(dǎo),為具體的安全措施和規(guī)定提供一個(gè)全局性框架?
ISO27001信息安全策略的制定者綜合風(fēng)險(xiǎn)評(píng)估?信息對(duì)業(yè)務(wù)的重要性,考慮組織所遵從的安全標(biāo)準(zhǔn),中小企業(yè)的ISO27001信息安全策略主要需要考慮以下具體策略:
1.使用策略——描述設(shè)備使用?計(jì)算機(jī)服務(wù)使用和內(nèi)部員工安全規(guī)定?以保護(hù)企業(yè)的信息和資源安全?
2.加密策略——描述企業(yè)對(duì)數(shù)據(jù)加密的安全要求?
3.訪(fǎng)問(wèn)策略——定義訪(fǎng)問(wèn)權(quán)力,指定用戶(hù)?工作團(tuán)體和管理者可接受的使用準(zhǔn)則,以便從失敗或者泄密中保護(hù)資產(chǎn)?它應(yīng)該提供指導(dǎo)性的原則,用以指導(dǎo)外部連接?數(shù)據(jù)通信?向網(wǎng)絡(luò)中連接設(shè)備和向系統(tǒng)中添加新的軟件?它還需要指明任何需要通知的信息?
4.職責(zé)策略——定義用戶(hù)?工作團(tuán)體和管理者的職責(zé)?它應(yīng)該規(guī)定審計(jì)能力并提供事故處理準(zhǔn)則(也就是說(shuō),如果檢測(cè)到一個(gè)可能的入侵的話(huà),需要做什么以及聯(lián)系誰(shuí))?
5.線(xiàn)路連接策略——描述諸例如傳真發(fā)送和接收?模擬線(xiàn)路與計(jì)算機(jī)的連接?撥號(hào)連接等安全要求?
6.反病毒策略——給出有效減少計(jì)算機(jī)病毒對(duì)企業(yè)的信息安全威脅的一些指導(dǎo)方針,明確在哪些環(huán)節(jié)必須進(jìn)行病毒檢測(cè)?
7.審計(jì)策略——描述信息安全審計(jì)要求,包括審計(jì)小組的人員組成?權(quán)限?事故調(diào)查?信息安全風(fēng)險(xiǎn)估計(jì)?信息安全策略符合程度評(píng)價(jià)?對(duì)用戶(hù)和系統(tǒng)活動(dòng)進(jìn)行監(jiān)控等活動(dòng)的要求?
8.敏感信息策略——對(duì)于組織的機(jī)密信息進(jìn)行分級(jí),按照它們的敏感度描述安全要求?
9.電子郵件使用策略——描述組織內(nèi)部和外部電子郵件接收?傳遞的安全要求?
10.數(shù)據(jù)庫(kù)策略——描述信息的存儲(chǔ)?檢索?更新等管理數(shù)據(jù)庫(kù)數(shù)據(jù)的安全要求?
11.內(nèi)部策略——描述對(duì)組織內(nèi)部的各種活動(dòng)信息安全的要求,使組織的產(chǎn)品?服務(wù)和利益受到充分保護(hù)?
12.互聯(lián)網(wǎng)接入策略——定義在組織防火墻之外的設(shè)備和操作的安全要求?
13.遠(yuǎn)程訪(fǎng)問(wèn)策略——定義從組織外部計(jì)算機(jī)或者網(wǎng)絡(luò)連接到組織內(nèi)部網(wǎng)絡(luò)進(jìn)行外部訪(fǎng)問(wèn)的安全要求?
14.口令防護(hù)策略——定義創(chuàng)建?保護(hù)和改變口令的要求?
15.路由器安全策略——定義組織內(nèi)部路由器與交換機(jī)的最低安全配置要求?
16.服務(wù)器安全策略——定義組織內(nèi)部的服務(wù)器的最低安全配置要求?
必須要意識(shí)到制定和落實(shí)信息安全策略是一個(gè)長(zhǎng)期?艱苦的工作,需要付出艱苦的努力,并且由于牽扯到信息系統(tǒng)許多部門(mén)和絕大多數(shù)人員,可能需要改變工作方式和流程,所以推行起來(lái)的阻力會(huì)相當(dāng)大?同時(shí)信息安全策略本身存在的缺陷,包括不切實(shí)可行,太過(guò)復(fù)雜和繁瑣,部分規(guī)定有缺陷等等,都會(huì)導(dǎo)致整體策略難以落實(shí)?
中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún),檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了,如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線(xiàn)客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī),咨詢(xún)輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)跟我們聯(lián)系刪除并致歉!
本文來(lái)源: http://www.rumin8raps.com/zs/202109/ccaa_27655.html
