@CI
3年前 提问
1个回答

信息安全策略必须具备什么属性

齐士忠
3年前

信息安全策略必须具备确定性、全面性和有效性。信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组织整个信息安全体系的基础。信息安全策略提供信息保护的内容和目标、信息保护的职责落实、实施信息保护的方法、事故的处理。

信息安全策略设计范围:

物理安全策略:包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。

网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。

数据加密策略:包括加密算法、适用范围、密钥交换和管理等。

数据备份策略:包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。

病毒防护策略:包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。

系统安全策略:包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。

身份认证及授权策略:包括认证及授权机制、方式、审计记录等。

灾难恢复策略:包括负责人员、恢复机制、方式、归档管理、硬件、软件等。

事故处理、紧急响应策略:包括响应小组、联系方式、事故处理计划、控制过程等。

安全教育策略:包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识的教育等。

口令管理策略:包括口令管理方式、口令设置规则、口令适应规则等。

补丁管理策略:包括系统补丁的更新、测试、安装等。

系统变更控制策略:包括设备、软件配置、控制措施、数据变更管理、一致性管理等。

商业伙伴、客户关系策略:包括合同条款安全策略、客户服务安全建议等。

复查审计策略:包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。