




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
信息安全策略管理引題SubText如果你是一名組織機(jī)構(gòu)的信息安全執(zhí)行主官,為了保護(hù)本機(jī)構(gòu)信息的安全,需要制定符合實(shí)際情況的信息安全策略,你會如何來做?信息安全策略內(nèi)涵及重要意義123內(nèi)容信息安全策略的分類信息安全策略的規(guī)劃與實(shí)施1信息安全策略的內(nèi)涵及重要意義一、信息安全策略的內(nèi)涵信息安全策略從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn),并說明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃,其目標(biāo)是為信息安全提供管理指導(dǎo)和支持。
1信息安全策略的內(nèi)涵及重要意義一、信息安全策略的內(nèi)涵信息安全策略是信息安全的靈魂。
信息安全策略是一切信息安全保障活動的基礎(chǔ)和出發(fā)點(diǎn)。1信息安全策略的內(nèi)涵及重要意義二、信息安全策略的作用向組織成員闡明如何使用組織中信息系統(tǒng)資源,如何處理敏感信息;用戶在使用信息時(shí)應(yīng)當(dāng)承擔(dān)什么樣的責(zé)任;描述對人員的安全意識與技能要求;如何使用安全技術(shù)產(chǎn)品;列出被組織禁止的行為等等。1信息安全策略的內(nèi)涵及重要意義三、信息安全策略的作用方式策略防護(hù)測評管理監(jiān)視響應(yīng)1信息安全策略的內(nèi)涵及重要意義三、信息安全策略的作用方式策略防護(hù)測評管理監(jiān)視響應(yīng)1信息安全策略的內(nèi)涵及重要意義三、信息安全策略的作用方式策略防護(hù)測評管理監(jiān)視響應(yīng)1信息安全策略的內(nèi)涵及重要意義信息安全策略的規(guī)劃與實(shí)施是保護(hù)組織信息安全的重要一步。1信息安全策略的內(nèi)涵及重要意義信息安全策略的規(guī)劃與實(shí)施是保護(hù)組織信息安全的重要一步。信息安全策略的正確制定與實(shí)施對組織的信息安全起著非常重要的作用。1信息安全策略的內(nèi)涵及重要意義四、信息安全策略管理的必要性隨著全球信息化程度越來越高,信息系統(tǒng)越來越復(fù)雜、所受的威脅也越來越多,信息安全保障工作復(fù)雜性和難度隨之增強(qiáng),在制定信息安全措施時(shí)必須考慮一套科學(xué)的、系統(tǒng)的安全策略規(guī)劃與實(shí)施程序。2信息安全策略的分類2信息安全策略的分類一、按信息安全策略層次劃分
戰(zhàn)略性信息安全策略戰(zhàn)術(shù)性信息安全策略操作性信息安全策略
2信息安全策略的分類一、按信息安全策略層次劃分
戰(zhàn)略性信息安全策略改革開發(fā)軍人必須遵守國家、軍隊(duì)的保密法規(guī)、嚴(yán)守保密紀(jì)律、保守軍事秘密
戰(zhàn)術(shù)性信息安全策略增強(qiáng)境外人才引進(jìn)十調(diào)禁令操作性信息安全策略規(guī)定人才能夠引進(jìn)的類型,相應(yīng)的優(yōu)惠政策裝備保密系統(tǒng),設(shè)置保密系統(tǒng)的安全策略2信息安全策略的分類2信息安全策略的分類不同層次類型的信息安全策略,是由不同層次角色人員負(fù)責(zé)制定。2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分
國家標(biāo)準(zhǔn):“GB/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求”中信息安全策略劃分國際標(biāo)準(zhǔn):“ISO/IEC27002信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)則”中信息安全策略劃分2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分
國家標(biāo)準(zhǔn):“GB/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求”技術(shù)類策略1物理安全2網(wǎng)絡(luò)安全3主機(jī)系統(tǒng)安全4應(yīng)用安全5數(shù)據(jù)安全管理類策略1安全管理機(jī)構(gòu)2安全管理制度3人員安全管理4系統(tǒng)建設(shè)管理5系統(tǒng)運(yùn)維管理2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分
國際標(biāo)準(zhǔn):“ISO/IEC27002信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)則”1信息安全方針和策略;2信息安全組織;3資產(chǎn)分類與控制;4人員安全;5物理與環(huán)境安全;6通信、運(yùn)行與操作安全;7訪問控制;8系統(tǒng)獲取、開發(fā)與維護(hù);9安全事故管理;10業(yè)務(wù)持續(xù)性管理;11符合性。2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分
國際標(biāo)準(zhǔn):“ISO/IEC27002信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)則”1信息安全方針和策略;2信息安全組織;3資產(chǎn)分類與控制;4人員安全;5物理與環(huán)境安全;6通信、運(yùn)行與操作安全;7訪問控制;8系統(tǒng)獲取、開發(fā)與維護(hù);9安全事故管理;10業(yè)務(wù)持續(xù)性管理;11符合性。依據(jù)以上信息安全策略的分類,使我們建立起一個(gè)信息安全策略范疇。3信息安全策略的規(guī)劃與實(shí)施信息安全策略從哪來?如何獲取?
3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施需求策略描述了系統(tǒng)要達(dá)到的安全要求和提供的安全功能,以及應(yīng)該阻止或避免什么事件的發(fā)生,這是編寫和定義安全策略的依據(jù)和基礎(chǔ)。3信息安全策略的規(guī)劃與實(shí)施需求策略描述了系統(tǒng)要達(dá)到的安全要求和提供的安全功能,以及應(yīng)該阻止或避免什么事件的發(fā)生,這是編寫和定義安全策略的依據(jù)和基礎(chǔ)。3信息安全策略的規(guī)劃與實(shí)施需求策略描述了系統(tǒng)要達(dá)到的安全要求和提供的安全功能,以及應(yīng)該阻止或避免什么事件的發(fā)生,這是編寫和定義安全策略的依據(jù)和基礎(chǔ)。服務(wù)策略指明實(shí)現(xiàn)系統(tǒng)安全需求應(yīng)提供的安全服務(wù)。安全服務(wù)具體包括:標(biāo)識與認(rèn)證、授權(quán)與訪問控制、保密性與完整性、數(shù)字簽名與抗抵賴、安全審計(jì)、入侵檢測、響應(yīng)與恢復(fù)、病毒防范、容錯(cuò)與備份等。服務(wù)策略是需求策略的具體化,是對具體實(shí)體策略的抽象。3信息安全策略的規(guī)劃與實(shí)施需求策略描述了系統(tǒng)要達(dá)到的安全要求和提供的安全功能,以及應(yīng)該阻止或避免什么事件的發(fā)生,這是編寫和定義安全策略的依據(jù)和基礎(chǔ)。服務(wù)策略指明實(shí)現(xiàn)系統(tǒng)安全的需求,系統(tǒng)應(yīng)提供何種安全服務(wù),具體包括標(biāo)識與認(rèn)證、授權(quán)與訪問控制、保密性與完整性、數(shù)字簽名與抗抵賴、安全審計(jì)、入侵檢測、響應(yīng)與恢復(fù)、病毒防范、容錯(cuò)與備份等。服務(wù)策略是需求策略的具體化,是對具體實(shí)體策略的抽象。實(shí)體策略描述的是如何將上兩層策略付諸工程實(shí)現(xiàn),該層策略進(jìn)一步細(xì)分為描述層策略和配置命令策略。3信息安全策略的規(guī)劃與實(shí)施一、信息安全策略的制定信息安全策略的制定是一個(gè)非常復(fù)雜的智力活動。二、信息安全策略的制定(通用)原則
起點(diǎn)進(jìn)入原則長遠(yuǎn)安全預(yù)期原則最小特權(quán)原則適度復(fù)雜與經(jīng)濟(jì)原則3信息安全策略的規(guī)劃與實(shí)施三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施制訂安全策略之前的一個(gè)必要步驟,其是確認(rèn)該策略所應(yīng)用的范圍,例如是在整個(gè)組織還是在某個(gè)部門。如果沒有明確范圍就制訂策略無異于無的放矢。三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施事實(shí)上任何項(xiàng)目的推進(jìn)都無法離開管理層的支持,安全策略的實(shí)施也是如此。先從管理層獲得足夠的承諾有很多好處,可以為后面的工作鋪平道路,還可以了解組織總體上對安全策略的重視程度,而且與管理層的溝通也是將安全工作進(jìn)一步導(dǎo)向更理想狀態(tài)的一個(gè)契機(jī)。三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施安全性分析主要目標(biāo):是確定需要進(jìn)行保護(hù)的信息資產(chǎn),及其對組織的絕對和相對價(jià)值,在決定保護(hù)措施的時(shí)候需要參照這一步驟所獲得的信息。三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施安全性分析主要目標(biāo):是確定需要進(jìn)行保護(hù)的信息資產(chǎn),及其對組織的絕對和相對價(jià)值,在決定保護(hù)措施的時(shí)候需要參照這一步驟所獲得的信息。安全性分析需要考慮的關(guān)鍵問題:需要保護(hù)什么,需要防范哪些威脅,受到攻擊的可能性,攻擊發(fā)生時(shí)可能造成的損失,能夠采取的防范措施,防范措施的成本和效果評估等。三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施通常來說至少應(yīng)該與負(fù)責(zé)技術(shù)部門和負(fù)責(zé)業(yè)務(wù)部門的人員進(jìn)行一些會議,在這些會議上應(yīng)該向這些人員灌輸在分析階段所得出的結(jié)論并爭取這些人員的認(rèn)同。如果有其它屬于安全策略應(yīng)用范圍內(nèi)的業(yè)務(wù)單位,那么也應(yīng)該讓其加入到這項(xiàng)工作。三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施在達(dá)成一致并獲得了組織內(nèi)部足夠的支持,就可以開始著手建立實(shí)際的策略了。這個(gè)策略版本會形成最終策略的框架和主要內(nèi)容,并作為最后的評估和確認(rèn)工作的基準(zhǔn)。三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施該部分工作是在之前的基礎(chǔ)上進(jìn)一步與所有風(fēng)險(xiǎn)承擔(dān)者一同對安全策略進(jìn)行確認(rèn),從而最終形成修正后的正式的策略版本。在這個(gè)階段會往往會有更多的人員參與進(jìn)來,應(yīng)該進(jìn)一步爭取所有相關(guān)人員的支持。三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施當(dāng)安全策略制定完成之后還需要在組織內(nèi)成功的進(jìn)行發(fā)布,使組織成員仔細(xì)閱讀并充分理解策略的內(nèi)容??梢酝ㄟ^組織主要的信息發(fā)布渠道對安全策略進(jìn)行廣泛發(fā)布,例如組織的內(nèi)部信息系統(tǒng)、例會、培訓(xùn)活動等等。三、信息安全策略的制定與執(zhí)行流程
確定應(yīng)用范圍獲得管理支持進(jìn)行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實(shí)施隨著應(yīng)用環(huán)境的變化,信息安全策略也必須隨之變化和發(fā)展才能繼續(xù)發(fā)揮作用。通常組織應(yīng)該每季度進(jìn)行一次策略評估,每年至少應(yīng)該進(jìn)行一次策略更新。四、信息安全策略的管理手段
3信息安全策略的規(guī)劃與實(shí)施四、信息安全策略的管理手段
3信息安全策略的規(guī)劃與實(shí)施安全策略管理的文檔組織安全策略管理的關(guān)鍵技術(shù)四、信息安全策略的手段
3信息安全策略的規(guī)劃與實(shí)施四、信息安全策略的管理手段
3信息安全策略的規(guī)劃與實(shí)施安全策略管理文檔有哪些類型?如何組織?四、信息安全策略的管理手段
3信息安全策略的規(guī)劃與實(shí)施安全策略管理文檔有哪些類型?3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施四、信息安全策略的管理手段
3信息安全策略的規(guī)劃與實(shí)施安全策略管理文檔內(nèi)容格式如何組織?3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施3信息安全策略的規(guī)劃與實(shí)施五.信息安全策略管理相關(guān)技術(shù)安全策略統(tǒng)一描述技術(shù)安全策略自動翻譯技術(shù)安全策略一致性驗(yàn)證技術(shù)安全策略狀態(tài)監(jiān)控技術(shù)3信息安全策略的規(guī)劃與實(shí)施五.信息安全策略管理相關(guān)技術(shù)安全策略統(tǒng)一描述技術(shù)實(shí)施安全策略管理的前提是實(shí)現(xiàn)對安全設(shè)備策略的統(tǒng)一描述,將眾多的安全設(shè)備的策略格式用同一種描述方法進(jìn)行表示,達(dá)到安全設(shè)備的策略被統(tǒng)一管理的目的。
目前提出的比較流行的安全策略統(tǒng)一描述語言有Ponder和XACML語言。3信息安全策略的規(guī)劃與實(shí)施五.信息安全策略管理相關(guān)技術(shù)實(shí)體策略轉(zhuǎn)換將描述層策略轉(zhuǎn)換成設(shè)備具體的配置命令。通過建立科學(xué)的策略轉(zhuǎn)換知識庫,設(shè)計(jì)策略轉(zhuǎn)換編譯器,即可實(shí)現(xiàn)實(shí)體策略的自動翻譯。實(shí)體策略轉(zhuǎn)換分兩階段進(jìn)行。安全策略自動翻譯轉(zhuǎn)換技術(shù)3信息安全策略的規(guī)劃與實(shí)施五.信息安全策略管理相關(guān)技術(shù)安全策略一致性驗(yàn)證技術(shù)屏蔽沖突:當(dāng)一個(gè)排序在后的規(guī)則能匹配的所有數(shù)據(jù)包也能被一個(gè)排序在前的規(guī)則匹配時(shí),那么這個(gè)排序在后的規(guī)則將永遠(yuǎn)無法得到應(yīng)用,這種策略沖突就稱為屏蔽沖突。關(guān)聯(lián)沖突:如果兩個(gè)動作不同的規(guī)則之間存在關(guān)聯(lián)關(guān)系,那么其允許集或拒絕集之間就會有重疊;此時(shí)這兩個(gè)規(guī)則的順序就非常重要,如果調(diào)換兩者的順序,就會產(chǎn)生完全相反的結(jié)果。這種策略沖突稱為關(guān)聯(lián)沖突。3信息安全策略的規(guī)劃與實(shí)施五.信息
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 房地產(chǎn)開發(fā)項(xiàng)目合作框架協(xié)議模板
- 初中化學(xué)《金屬和金屬材料》
- 南寧市勞動合同書
- 顧客心理分析在新零售個(gè)性化服務(wù)中的應(yīng)用
- 項(xiàng)目管理基礎(chǔ)與工作實(shí)踐
- 音樂產(chǎn)業(yè)中的品牌傳播與數(shù)據(jù)挖掘
- 顧客服務(wù)在新零售中的重要作用及其對消費(fèi)者忠誠度的影響
- 顧客體驗(yàn)提升新零售技術(shù)驅(qū)動下的轉(zhuǎn)變
- 項(xiàng)目管理在新產(chǎn)品開發(fā)中的關(guān)鍵作用
- 革新購物體驗(yàn)AR試衣間的設(shè)計(jì)與用戶體驗(yàn)分析
- 2025年人教版(2024)初中英語七年級下冊期末考試測試卷及答案
- (2025)事業(yè)編考試題庫(附含答案)
- 2025年導(dǎo)游資格證考試筆試模擬試卷:旅游法規(guī)與政策解讀與應(yīng)用案例試題
- 女性美學(xué)課堂企業(yè)制定與實(shí)施新質(zhì)生產(chǎn)力項(xiàng)目商業(yè)計(jì)劃書
- 中小學(xué)學(xué)校德育工作管理制度匯編
- 路由與交換基礎(chǔ)知識試題及答案
- 混凝土澆筑清包合同范本
- 部編版2024-2025學(xué)年四年級下冊語文期末測試卷(含答案)
- 生子前簽協(xié)議書
- 加裝電梯補(bǔ)償協(xié)議書
- 2024年安徽省高考物理試卷真題(含答案解析)
評論
0/150
提交評論