@Lemon
2年前 提问
1个回答

信息安全策略文档内容包括哪些方面

Anna艳娜
2年前

信息安全策略文档内容包括以下方面:

  • 策略方面:关于策略自身的建设、管理、审核和修订,策略的发布、推行、培训、符合性等方面的内容,现有文档中没有体现,完全空白,建议制定此方面的系列文档。

  • 组织和人员方面:关于有关组织建设,组织和人员责任等方面的内容,在《企业信息化工作及各部门计算机岗位的岗位职责条例》中有较为全面的描述,但也存在一些问题,比如有些岗位没有职责定义,可能是虚职;网络管理组织与安全组织之间的关系不够清晰等。建议定义出清晰的组织关系和结构,最好有明晰的结构图,同时每个岗位定义具体的安全职责。同时制定关于人员安全方面的安全培训、认证、安全素质和意识的提高等方面的制度。

  • 资产方面:关于资产进行分类、标识、价值等级和机密等级划分和维护、资产管理等方面,没有发现有文档涉及。建议建立相应的一系列制度和文档。

  • 运作方面:关于安全维护和日常管理,包括主要业务系统的安全维护和日常IT维护等,在辽宁电力的安全策略中有一些规定,但都不够具体和可操作,建议开发下面的更为具体和可操作的各个方面的独立的文档。审计和跟踪机制,建立日志存储、管理和分析机制的文档;网络和系统的访问控制标准和制度,加强权限管理的制度,网络分段与网段隔离的标准和制度,远程访问和远程工作的制度;用户和口令管理的标准和制度;建立针对恶意代码,后门的保护和侦测标准和制度;第三方管理的系列标准和制度。

  • 技术方面:关于技术方面,安全策略覆盖到物理层和网络层,部分覆盖到应用程序层和数据层,但内容很少,没有覆盖到操作系统层、业务系统层等层面。没有描述安全防范系统、安全扫描系统、入侵检测系统、病毒防范系统、相应安全产品的管理和维护,没有相应的技术标准、规范和方法论等文档。

  • 主要业务覆盖方面:没有专门针对系统的业务系统而制定的文档。建议制定并推行针对各个业务系统不同特性的安全管理制度,业务系统软件的安全配置标准和规范,日常维护的安全操作流程等文档。

  • 业务连续性方面:关于业务连续性计划的制定、测试和推行,备份和容灾系统的建设、维护和管理方面,只有数据备份的管理规定,也不够详细。建议制定关于业务连续性方面的系列文档。