返回
《制定安全计划》PPT课件

《制定安全计划》PPT课件

ID:39419389

大小:297.10 KB

页数:37页

时间:2019-07-02

《制定安全计划》PPT课件_第1页
《制定安全计划》PPT课件_第2页
《制定安全计划》PPT课件_第3页
《制定安全计划》PPT课件_第4页
《制定安全计划》PPT课件_第5页
资源描述:

《《制定安全计划》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第2章制定安全计划内容提要◎计划的组成部分◎制定机构计划◎计划分级◎信息安全实施计划◎安全系统开发生命周期2.1计划的组成部分为了有效地推行一个计划,机构的领导者必须首先制定文档,清楚地说明机构的道德观念、企业理念和哲学理念。任务前景价值声明战略2.1计划的组成部分任务(mission)一个机构的任务声明(missionstatement)就是明确地界定机构的业务及其操作范围。从某种意义上说,它就是机构的身份证。例如:xxx公司为行业用户提供信息化整体解决方案。对于信息安全部门而言,它们可以承诺保证信息的机密性、完整

2、性、可用性或者像下面那样,提供一份更加详细的信息安全部门职能的描述。这个任务声明应该出现在机构整体计划的“信息安全角色及其相关责任”这一部分当中。2.1计划的组成部分信息安全部门负责识别、评估和恰当地管理X公司的信息和信息系统所面临的风险。它评价应对风险的各种方案,和全公司的其他部门一起商定解决方案,并采用恰当的方式主动地响应同样的风险。信息安全部门还负责制定适用于整个机构和外部信息系统(例如外部网)的安全要求,(这些要求包括策略、标准、过程)。最重要的是,该部门全权负责对X公司的信息系统带来潜在威胁的所有事务,包括

3、设法避免、阻止、检测各种威胁或恢复系统。2.1计划的组成部分这些威胁包括(但不局限于)以下几条:非授权存取信息非授权使用信息非授权暴露信息非授权分割信息非授权更改信息非授权破坏信息非授权复制信息无效信息2.1计划的组成部分前景计划的第2个组成部分是前景声明(visionstatement)。和任务声明相比,后者解释机构是什么,而前者解释机构希望成为什么。因此,前景声明应该是雄心勃勃的。毕竟,它们代表一个机构的志向,并展现了机构的未来。换句话说,前景声明描述的是公司的美好未来。一些机构往往混淆了前景声明和任务声明之间的

4、区别,xxx的前景声明如下:让xxx公司成为xx行业需求用户的首选,让每一个需要xx解决方案的用户都使用xxx的产品。这是非常醒目、且雄心勃勃的前景声明。即使它看起来不太现实,但前景声明并不意味着可行,而仅仅是可能。2.1计划的组成部分价值声明计划的第3个组成部分是价值声明。股东和公众的信任、信心对任何机构来说都是很重要的因素。通过在价值声明中确立一套正式的机构原则、标准、品质以及评估行为的基准,机构就能让员工和公众清楚地把握其经营和业绩状况。正直、诚实、激情和尊重别人是微软的企业哲学,xxx的价值声明如下:“xxx

5、重视承诺、向员工强调正直、诚实和具有社会责任感,努力使其服务与公司、社会、法律以及自然环境相协调。”任务、前景和价值声明三者合一,共同构成了计划的哲学基础,并指导战略计划的制定。2.1计划的组成部分战略战略或战略计划是机构确定长期发展方向的基础,战略计划一般用于指导机构的活动,并着眼于在复杂多变的环境中根据具体明确的目标来管理资源。简言之,战略计划是一种有序的活动,它提供基本的决策并采取行动,以长远目光形成和指导一个机构是什么、做什么和为何要做。战略计划在机构的最高阶层形成,并转换到中间管理层更具体的战略计划之中,然

6、后这些计划又转换成高级管理者的战术性计划,并最终为机构的一般员工执行的可具体实施计划提供方向。这种多层次的方法包含两个关键目标:综合战略计划和总体战略计划。首先,综合战略计划转换到具体战略计划之中;其次,总体战略计划转换成下一级战术性计划和操作。2.1计划的组成部分2.2制定机构计划机构开发出一个综合战略计划之后,必须根据已有的数据制定一个总体战略计划,把综合战略计划转化成各主要部门的具体战略计划。每一级部门再把那些目标转化成更具体的下一级目标。例如,一个首席执行官可能制定出如下的综合战略:为企业提供最高档次的医疗保

7、健服务。为了执行这个大的战略并将具体细节付诸实施,执行组(有时称机构的C层)必须首先确定个人的责任,而责任的分配必须保持总体战略的完整性。例如:2.2制定机构计划首席操作官(COO)可能得出一个不同的战略目标,更多的着眼于他或她的具体责任:提供最高品质的医药服务。首席信息官可能将前面的概述转化成更具体的细节:提供高级的医疗保健信息服务以支持企业最高品质的健康服务。对于首席信息安全官来说,他的职责包括:确保安全地提供医疗健康信息服务,并符合美国各州和联邦的信息处理流程、信息安全、隐私权法令,特别是遵从《1996健康保险

8、便携性和责任法案》(HIPPA)。2.2制定机构计划从战略层到它的下一级的目标转化更富有艺术性而不是科学性,这有赖于执行官对整个机构的战略目标的了解和理解能力,有赖于他对机构内每个部门的战略和战术的了解和领会能力,以及和同级、上级、下级的磋商能力。。2.3计划分级一旦机构的总体战略计划转化成各个主要部门的战略目标(比如信息安全组),下一步就是把

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。