欢迎来到天天文库
浏览记录
ID:36329565
大小:135.50 KB
页数:35页
时间:2019-05-09
《《安全策略管理》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第5章信息安全策略管理内容提要◎信息安全策略的概念◎信息安全策略的层次◎信息安全策略的制定◎信息安全策略的管理及相关技术5.1信息安全策略的概念信息安全策略的概念信息安全策略从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。安全策略将系统的状态分为两个集合:已授权的和未授权的。5.1信息安全策略的概念制定信息安全策略的目的如何使用组织中的信息系统资源如何处理敏感信息如何采用安全技术产品信息安全策略通过为每个组织成员提供基本的原则、指南和定义,从而在组织中建立一套信息资源保护标准,防止人员的不安全行为引入风险。安全策略是进一步制定控制规则和安全程序的必要
2、基础。5.1信息安全策略的概念信息安全策略能够解决的问题敏感信息如何被处理?如何正确地维护用户身份与口令,以及其他账号信息?如何对潜在的安全事件和入侵企图进行响应?如何以安全的方式实现内部网及互联网的连接?怎样正确使用电子邮件系统?5.2信息安全策略的层次信息安全策略的层次信息安全方针具体的信息安全策略5.2.1信息安全方针信息安全方针的概念信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件,是用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应包含的内容信息安全的定义,总体目标和范围,安全对信息共享的重要性;管理层意图、支持目标和信息安
3、全原则的阐述;信息安全控制的简要说明,以及依从法律法规要求对组织的重要性;信息安全管理的一般和具体责任定义,包括报告安全事故等。5.2.2具体的信息安全策略策略包含一套规则,规定了在机构内可接受和不可接受的行为。为了执行策略,机构必须实施一套标准,以准确定义在工作场所哪些行为是违反规定的,以及机构对该行为的惩罚标准。标准是对策略的行为规则更详细的描述。在实施过程中,机构应当针对各种违规行为制定一套标准,并列出这些行为的详细资料。实践、过程和指导方针解释了员工应当怎样遵守策略。5.2.2具体的信息安全策略企业信息安全策略基于问题的安全策略基于系统的安全策略5.2.2.1企业信息安全策略企
4、业信息安全策略(EISP)——安全项目策略、总安全策略、IT安全策略、高级信息安全策略,也就是为整个机构安全工作制定战略方向、范围和策略基调。EISP为信息安全的各个领域分配责任,包括信息安全策略的维护、策略的实施、最终用户的责任。EISP还特别规定了信息安全项目的制定、实施和管理要求。EISP是一个执行级的文档,是由CISO与CIO磋商后起草的。通常2耀10页长,它构成了IT环境的安全理念。EISP一般不需要做经常或日常的修改,除非机构的战略方向发生了变化。5.2.2.1企业信息安全策略企业信息安全策略(EISP)的组成尽管各个机构的企业信息安全策略有差别,但大多数EISP文档应该包
5、括以下要素:关于企业安全理念的总体看法机构的信息安全部门结构和实施信息安全策略人员信息机构所有成员共同的安全责任(员工、承包人、顾问、合伙人和访问者)机构所有成员明确的、特有的安全责任注意:应把机构的任务和目标纳入EISP中例:一个好的EISP的组成部分5.2.2.1企业信息安全策略5.2.2.1企业信息安全策略5.2.2.2基于问题的安全策略基于问题的安全策略(ISSP,Issue-SpecificSecurityPolicy)提供了详细的、目标明确的指南,以此来指导所有机构成员如何使用基于技术的系统。一个有效的ISSP是各方(机构和成员)之间的协议,并且显示,为了保障技术不会以不恰
6、当方式被使用,机构已经做出了极大的努力。ISSP应该让机构成员认识到,策略的目标不是为机构的信息系统遭受破坏后起诉有关责任人提供法律依据,而是为了就哪些技术能否应用到系统中而达成共识。一旦达成了这个共识,员工就可以不用寻求领导批准,而任意使用各种类型的技术。5.2.2.2基于问题的安全策略基于问题的安全策略(ISSP)应完成的目标明确地指出机构期望其员工如何使用基于技术的系统。记录了基于技术的系统的控制过程,并确定这个控制过程和相关的负责机构。当机构的员工由于使用不当,或者非法操作系统而造成了损失,它可以保护机构不承担该责任。ISSP的特性它是针对特定的、基于技术的系统它要求不断地升级
7、它包含一个问题陈述,解释了机构对特定问题的态度5.2.2.2基于问题的安全策略基于问题的安全策略(ISSP)的组成目标声明授权访问和设备的使用设备的禁止使用系统管理违反策略策略检查和修改责任的限制5.2.2.2.1ISSP的组成目标声明概括策略的范围和适用性,用于解决以下问题:这个策略服务于什么目标?由谁来负责实施策略?策略文档涉及到哪些技术问题?授权访问和设备的使用解释了谁可以使用策略所规定的技术,用于什么目的。该部分规定了以“公正和负责任的
此文档下载收益归作者所有