課信息安全策略管理

信息安全策略管理引題SubText如果你是一名組織機(jī)構(gòu)的信息安全執(zhí)行主官，為了保護(hù)本機(jī)構(gòu)信息的安全，需要制定符合實(shí)際情況的信息安全策略，你會如何來做？信息安全策略內(nèi)涵及重要意義123內(nèi)容信息安全策略的分類信息安全策略的規(guī)劃與實(shí)施1信息安全策略的內(nèi)涵及重要意義一、信息安全策略的內(nèi)涵信息安全策略從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃，其目標(biāo)是為信息安全提供管理指導(dǎo)和支持。

1信息安全策略的內(nèi)涵及重要意義一、信息安全策略的內(nèi)涵信息安全策略是信息安全的靈魂。

信息安全策略是一切信息安全保障活動的基礎(chǔ)和出發(fā)點(diǎn)。1信息安全策略的內(nèi)涵及重要意義二、信息安全策略的作用向組織成員闡明如何使用組織中信息系統(tǒng)資源，如何處理敏感信息；用戶在使用信息時(shí)應(yīng)當(dāng)承擔(dān)什么樣的責(zé)任；描述對人員的安全意識與技能要求；如何使用安全技術(shù)產(chǎn)品；列出被組織禁止的行為等等。1信息安全策略的內(nèi)涵及重要意義三、信息安全策略的作用方式策略防護(hù)測評管理監(jiān)視響應(yīng)1信息安全策略的內(nèi)涵及重要意義三、信息安全策略的作用方式策略防護(hù)測評管理監(jiān)視響應(yīng)1信息安全策略的內(nèi)涵及重要意義三、信息安全策略的作用方式策略防護(hù)測評管理監(jiān)視響應(yīng)1信息安全策略的內(nèi)涵及重要意義信息安全策略的規(guī)劃與實(shí)施是保護(hù)組織信息安全的重要一步。1信息安全策略的內(nèi)涵及重要意義信息安全策略的規(guī)劃與實(shí)施是保護(hù)組織信息安全的重要一步。信息安全策略的正確制定與實(shí)施對組織的信息安全起著非常重要的作用。1信息安全策略的內(nèi)涵及重要意義四、信息安全策略管理的必要性隨著全球信息化程度越來越高，信息系統(tǒng)越來越復(fù)雜、所受的威脅也越來越多，信息安全保障工作復(fù)雜性和難度隨之增強(qiáng)，在制定信息安全措施時(shí)必須考慮一套科學(xué)的、系統(tǒng)的安全策略規(guī)劃與實(shí)施程序。2信息安全策略的分類2信息安全策略的分類一、按信息安全策略層次劃分

戰(zhàn)略性信息安全策略戰(zhàn)術(shù)性信息安全策略操作性信息安全策略

2信息安全策略的分類一、按信息安全策略層次劃分

戰(zhàn)略性信息安全策略改革開發(fā)軍人必須遵守國家、軍隊(duì)的保密法規(guī)、嚴(yán)守保密紀(jì)律、保守軍事秘密

戰(zhàn)術(shù)性信息安全策略增強(qiáng)境外人才引進(jìn)十調(diào)禁令操作性信息安全策略規(guī)定人才能夠引進(jìn)的類型，相應(yīng)的優(yōu)惠政策裝備保密系統(tǒng)，設(shè)置保密系統(tǒng)的安全策略2信息安全策略的分類2信息安全策略的分類不同層次類型的信息安全策略，是由不同層次角色人員負(fù)責(zé)制定。2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分

國家標(biāo)準(zhǔn)：“GB/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求”中信息安全策略劃分國際標(biāo)準(zhǔn)：“ISO/IEC27002信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)則”中信息安全策略劃分2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分

國家標(biāo)準(zhǔn)：“GB/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求”技術(shù)類策略1物理安全2網(wǎng)絡(luò)安全3主機(jī)系統(tǒng)安全4應(yīng)用安全5數(shù)據(jù)安全管理類策略1安全管理機(jī)構(gòu)2安全管理制度3人員安全管理4系統(tǒng)建設(shè)管理5系統(tǒng)運(yùn)維管理2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分

國際標(biāo)準(zhǔn)：“ISO/IEC27002信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)則”1信息安全方針和策略；2信息安全組織；3資產(chǎn)分類與控制；4人員安全；5物理與環(huán)境安全；6通信、運(yùn)行與操作安全；7訪問控制；8系統(tǒng)獲取、開發(fā)與維護(hù)；9安全事故管理；10業(yè)務(wù)持續(xù)性管理；11符合性。2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分

國際標(biāo)準(zhǔn)：“ISO/IEC27002信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)則”1信息安全方針和策略；2信息安全組織；3資產(chǎn)分類與控制；4人員安全；5物理與環(huán)境安全；6通信、運(yùn)行與操作安全；7訪問控制；8系統(tǒng)獲取、開發(fā)與維護(hù)；9安全事故管理；10業(yè)務(wù)持續(xù)性管理；11符合性。依據(jù)以上信息安全策略的分類，使我們建立起一個(gè)信息安全策略范疇。3信息安全策略的規(guī)劃與實(shí)施信息安全策略從哪來？如何獲取？

3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施需求策略描述了系統(tǒng)要達(dá)到的安全要求和提供的安全功能，以及應(yīng)該阻止或避免什么事件的發(fā)生，這是編寫和定義安全策略的依據(jù)和基礎(chǔ)。3信息安全策略的規(guī)劃與實(shí)施需求策略描述了系統(tǒng)要達(dá)到的安全要求和提供的安全功能，以及應(yīng)該阻止或避免什么事件的發(fā)生，這是編寫和定義安全策略的依據(jù)和基礎(chǔ)。3信息安全策略的規(guī)劃與實(shí)施需求策略描述了系統(tǒng)要達(dá)到的安全要求和提供的安全功能，以及應(yīng)該阻止或避免什么事件的發(fā)生，這是編寫和定義安全策略的依據(jù)和基礎(chǔ)。服務(wù)策略指明實(shí)現(xiàn)系統(tǒng)安全需求應(yīng)提供的安全服務(wù)。安全服務(wù)具體包括：標(biāo)識與認(rèn)證、授權(quán)與訪問控制、保密性與完整性、數(shù)字簽名與抗抵賴、安全審計(jì)、入侵檢測、響應(yīng)與恢復(fù)、病毒防范、容錯(cuò)與備份等。服務(wù)策略是需求策略的具體化，是對具體實(shí)體策略的抽象。3信息安全策略的規(guī)劃與實(shí)施需求策略描述了系統(tǒng)要達(dá)到的安全要求和提供的安全功能，以及應(yīng)該阻止或避免什么事件的發(fā)生，這是編寫和定義安全策略的依據(jù)和基礎(chǔ)。服務(wù)策略指明實(shí)現(xiàn)系統(tǒng)安全的需求，系統(tǒng)應(yīng)提供何種安全服務(wù)，具體包括標(biāo)識與認(rèn)證、授權(quán)與訪問控制、保密性與完整性、數(shù)字簽名與抗抵賴、安全審計(jì)、入侵檢測、響應(yīng)與恢復(fù)、病毒防范、容錯(cuò)與備份等。服務(wù)策略是需求策略的具體化，是對具體實(shí)體策略的抽象。實(shí)體策略描述的是如何將上兩層策略付諸工程實(shí)現(xiàn)，該層策略進(jìn)一步細(xì)分為描述層策略和配置命令策略。3信息安全策略的規(guī)劃與實(shí)施一、信息安全策略的制定信息安全策略的制定是一個(gè)非常復(fù)雜的智力活動。二、信息安全策略的制定（通用）原則

起點(diǎn)進(jìn)入原則長遠(yuǎn)安全預(yù)期原則最小特權(quán)原則適度復(fù)雜與經(jīng)濟(jì)原則3信息安全策略的規(guī)劃與實(shí)施三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施制訂安全策略之前的一個(gè)必要步驟，其是確認(rèn)該策略所應(yīng)用的范圍，例如是在整個(gè)組織還是在某個(gè)部門。如果沒有明確范圍就制訂策略無異于無的放矢。三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施事實(shí)上任何項(xiàng)目的推進(jìn)都無法離開管理層的支持，安全策略的實(shí)施也是如此。先從管理層獲得足夠的承諾有很多好處，可以為后面的工作鋪平道路，還可以了解組織總體上對安全策略的重視程度，而且與管理層的溝通也是將安全工作進(jìn)一步導(dǎo)向更理想狀態(tài)的一個(gè)契機(jī)。三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施安全性分析主要目標(biāo)：是確定需要進(jìn)行保護(hù)的信息資產(chǎn)，及其對組織的絕對和相對價(jià)值，在決定保護(hù)措施的時(shí)候需要參照這一步驟所獲得的信息。三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施安全性分析主要目標(biāo)：是確定需要進(jìn)行保護(hù)的信息資產(chǎn)，及其對組織的絕對和相對價(jià)值，在決定保護(hù)措施的時(shí)候需要參照這一步驟所獲得的信息。安全性分析需要考慮的關(guān)鍵問題：需要保護(hù)什么，需要防范哪些威脅，受到攻擊的可能性，攻擊發(fā)生時(shí)可能造成的損失，能夠采取的防范措施，防范措施的成本和效果評估等。三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施通常來說至少應(yīng)該與負(fù)責(zé)技術(shù)部門和負(fù)責(zé)業(yè)務(wù)部門的人員進(jìn)行一些會議，在這些會議上應(yīng)該向這些人員灌輸在分析階段所得出的結(jié)論并爭取這些人員的認(rèn)同。如果有其它屬于安全策略應(yīng)用范圍內(nèi)的業(yè)務(wù)單位，那么也應(yīng)該讓其加入到這項(xiàng)工作。三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施在達(dá)成一致并獲得了組織內(nèi)部足夠的支持，就可以開始著手建立實(shí)際的策略了。這個(gè)策略版本會形成最終策略的框架和主要內(nèi)容，并作為最后的評估和確認(rèn)工作的基準(zhǔn)。三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施該部分工作是在之前的基礎(chǔ)上進(jìn)一步與所有風(fēng)險(xiǎn)承擔(dān)者一同對安全策略進(jìn)行確認(rèn)，從而最終形成修正后的正式的策略版本。在這個(gè)階段會往往會有更多的人員參與進(jìn)來，應(yīng)該進(jìn)一步爭取所有相關(guān)人員的支持。三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施當(dāng)安全策略制定完成之后還需要在組織內(nèi)成功的進(jìn)行發(fā)布，使組織成員仔細(xì)閱讀并充分理解策略的內(nèi)容?？梢酝ㄟ^組織主要的信息發(fā)布渠道對安全策略進(jìn)行廣泛發(fā)布，例如組織的內(nèi)部信息系統(tǒng)、例會、培訓(xùn)活動等等。三、信息安全策略的制定與執(zhí)行流程

確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施隨著應(yīng)用環(huán)境的變化，信息安全策略也必須隨之變化和發(fā)展才能繼續(xù)發(fā)揮作用。通常組織應(yīng)該每季度進(jìn)行一次策略評估，每年至少應(yīng)該進(jìn)行一次策略更新。四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實(shí)施四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實(shí)施安全策略管理的文檔組織安全策略管理的關(guān)鍵技術(shù)四、信息安全策略的手段

3信息安全策略的規(guī)劃與實(shí)施四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實(shí)施安全策略管理文檔有哪些類型？如何組織？四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實(shí)施安全策略管理文檔有哪些類型？3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實(shí)施安全策略管理文檔內(nèi)容格式如何組織？3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施五.信息安全策略管理相關(guān)技術(shù)安全策略統(tǒng)一描述技術(shù)安全策略自動翻譯技術(shù)安全策略一致性驗(yàn)證技術(shù)安全策略狀態(tài)監(jiān)控技術(shù)3信息安全策略的規(guī)劃與實(shí)施五.信息安全策略管理相關(guān)技術(shù)安全策略統(tǒng)一描述技術(shù)實(shí)施安全策略管理的前提是實(shí)現(xiàn)對安全設(shè)備策略的統(tǒng)一描述，將眾多的安全設(shè)備的策略格式用同一種描述方法進(jìn)行表示，達(dá)到安全設(shè)備的策略被統(tǒng)一管理的目的。

目前提出的比較流行的安全策略統(tǒng)一描述語言有Ponder和XACML語言。3信息安全策略的規(guī)劃與實(shí)施五.信息安全策略管理相關(guān)技術(shù)實(shí)體策略轉(zhuǎn)換將描述層策略轉(zhuǎn)換成設(shè)備具體的配置命令。通過建立科學(xué)的策略轉(zhuǎn)換知識庫，設(shè)計(jì)策略轉(zhuǎn)換編譯器，即可實(shí)現(xiàn)實(shí)體策略的自動翻譯。實(shí)體策略轉(zhuǎn)換分兩階段進(jìn)行。安全策略自動翻譯轉(zhuǎn)換技術(shù)3信息安全策略的規(guī)劃與實(shí)施五.信息安全策略管理相關(guān)技術(shù)安全策略一致性驗(yàn)證技術(shù)屏蔽沖突：當(dāng)一個(gè)排序在后的規(guī)則能匹配的所有數(shù)據(jù)包也能被一個(gè)排序在前的規(guī)則匹配時(shí)，那么這個(gè)排序在后的規(guī)則將永遠(yuǎn)無法得到應(yīng)用，這種策略沖突就稱為屏蔽沖突。關(guān)聯(lián)沖突：如果兩個(gè)動作不同的規(guī)則之間存在關(guān)聯(lián)關(guān)系，那么其允許集或拒絕集之間就會有重疊；此時(shí)這兩個(gè)規(guī)則的順序就非常重要，如果調(diào)換兩者的順序，就會產(chǎn)生完全相反的結(jié)果。這種策略沖突稱為關(guān)聯(lián)沖突。3信息安全策略的規(guī)劃與實(shí)施五.信息