信息安全策略研究.doc

信息安全策略研究 The Research on Information Security Policy 山東科飛管理咨詢公司 吳昌倫 王毅剛關(guān)鍵字：信息安全 信息管理 信息安全管理 信息安全策略摘要：在當(dāng)前形勢(shì)下對(duì)組織信息安全策略的必要性、開發(fā)和貫徹實(shí)施做了有益探討，提供了一個(gè)成文的Email安全策略，并對(duì)信息安全策略的優(yōu)劣評(píng)價(jià)考慮的因素提供了參考。 隨著社會(huì)信息化的深入和競(jìng)爭(zhēng)的日益激烈，信息對(duì)組織的運(yùn)作和發(fā)展所起到的作用越來越大，信息安全問題備受關(guān)注。目前關(guān)于信息安全的理論研究、方法研究和實(shí)踐研究都取得可喜的成就，其中兩個(gè)觀點(diǎn)被本文所接受，作為本文所討論問題的基點(diǎn)。一個(gè)是信息安全問題不僅僅是保密問題，信息安全（Information security）是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持，其終極目標(biāo)是降低組織的業(yè)務(wù)風(fēng)險(xiǎn)，保持可持續(xù)發(fā)展；另一個(gè)觀點(diǎn)是，信息安全問題不單純是技術(shù)問題，它是涉及很多方面（歷史、文化、道德、法律、管理、技術(shù)等）的一個(gè)綜合性問題，單純從技術(shù)角度考慮是不可能得到很好解決的。我們?cè)谶@里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質(zhì)不足以直接改變所在國(guó)家或地區(qū)的信息安全法律法規(guī)。作為這樣一個(gè)組織實(shí)體，如何確定自己的對(duì)策來解決信息安全這個(gè)復(fù)雜的課題呢？一、 組織應(yīng)該有一個(gè)完整的信息安全策略信息安全策略（Information Security Policies）也叫信息安全方針，是組織對(duì)信息和信息處理設(shè)施進(jìn)行管理、保護(hù)和分配的原則，它告訴組織成員在日常的工作中什么是可以做的，什么是必須做的，什么是不能做的，哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全的行為規(guī)范。如果問什么是一個(gè)好的安全策略，不是很好回答，但是可以肯定的說沒有一個(gè)統(tǒng)一一致的信息安全策略是最差的策略。如果組織中沒有關(guān)于信息安全問題的一個(gè)策略，組織的成員在使用信息或者處理信息安全問題時(shí)候缺乏正面的引導(dǎo)，很容易造成信息的濫用，也容易被用心不良的人鉆空子，我們可以通過下面一個(gè)例子來理解這種情況。某建筑設(shè)計(jì)院在所在城市小有名氣，共有工作人員二十五人，每人一臺(tái)計(jì)算機(jī)，Windows 98對(duì)等網(wǎng)絡(luò)通過一臺(tái)集線器連接起來，公司沒有專門的IT管理員。公司辦公室都在二樓，同一樓房?jī)?nèi)還有多家公司，在一樓入口處趙大爺負(fù)責(zé)外來人員的登記，但是他經(jīng)常分辨不清楚是不是外來人員。設(shè)計(jì)院由市內(nèi)一家保潔公司負(fù)責(zé)樓道和辦公室的清潔工作。總經(jīng)理陳博士是位老設(shè)計(jì)師，他經(jīng)常撥號(hào)到Internet訪問一些設(shè)計(jì)方面的信息，他的計(jì)算機(jī)上還安裝了代理軟件，其他人員可以通過這個(gè)代理軟件訪問Internet。如果該設(shè)計(jì)院的信息安全管理停留在一種放任的狀態(tài)，會(huì)發(fā)生什么問題呢？下列情況都是有可能的：l 小偷順著一樓的防護(hù)欄潛入辦公室偷走了l 保潔公司人員不小心弄臟了準(zhǔn)備發(fā)給客戶的設(shè)計(jì)方案；錯(cuò)把掉在地上的合同稿當(dāng)廢紙收走了；不小心碰掉了墻角的電源插銷l 某設(shè)計(jì)師張先生是公司的骨干，他嫌公司提供的設(shè)計(jì)軟件版本太舊，自己安裝了盜版的新版本設(shè)計(jì)程序。盡管這個(gè)盜版程序使用一段時(shí)間就會(huì)發(fā)生莫名其妙的錯(cuò)誤導(dǎo)致程序關(guān)閉，可是張先生還是喜歡新版本的設(shè)計(jì)程序，并找到一些辦法避免錯(cuò)誤發(fā)生時(shí)丟失文件。l 后來張先生離開設(shè)計(jì)院，新員工小李使用原來張先生的計(jì)算機(jī)。小李抱怨了多次計(jì)算機(jī)不正常，沒有人理會(huì)，最后決定自己重新安裝操作系統(tǒng)和應(yīng)用程序。l 小李把自己感覺重要的文件備份到陳博士的計(jì)算機(jī)上，聽朋友介紹Windows2000比較穩(wěn)定，他決定安裝Windows2000，于是他就重新給硬盤分區(qū)，成功完成了安裝。l 陳博士對(duì)張先生的不辭而別沒有思想準(zhǔn)備，甚至還沒來得及交接一下張先生離開時(shí)正負(fù)責(zé)的幾個(gè)設(shè)計(jì)項(xiàng)目。這幾天他一閑下來就整理張先生的設(shè)計(jì)方案，可是突然一天提示登錄原來張先生的那臺(tái)計(jì)算機(jī)需要密碼了。小李并不熟悉Windows2000，只是說自己并沒有設(shè)置密碼。l 盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計(jì)算機(jī)上，可是陳博士沒有找到自己需要的文件。l 大家通過陳博士的計(jì)算機(jī)訪問Internet，收集了很多有用的資料?？墒亲罱脦着_(tái)計(jì)算機(jī)在啟動(dòng)的時(shí)候就自動(dòng)連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個(gè)還沒有提交的設(shè)計(jì)稿，可是員工都說沒有發(fā)過這樣的信。這些不是發(fā)生過并發(fā)生著么？這還沒有提及蓄謀的情況，也沒有提及98年洪水或者911事件這樣的災(zāi)難情況下會(huì)是什么樣子。這些現(xiàn)象的直接原因并不復(fù)雜，所產(chǎn)生的后果可小可大。作為一個(gè)置身于激烈競(jìng)爭(zhēng)環(huán)境下的現(xiàn)代組織，其所面臨或者將要面臨的情況要復(fù)雜得多，或者其組織本身就復(fù)雜得多，如何在這種背景下解決信息安全問題呢？筆者認(rèn)為組織要做好信息安全工作，首要任務(wù)是要表明組織在信息安全問題上的基本態(tài)度，實(shí)踐證明信息安全策略是表達(dá)這種態(tài)度的一個(gè)好途徑。一個(gè)詳盡的專業(yè)化的信息全策略可以避免上面所提到的很多問題的發(fā)生。二、怎樣才算一個(gè)成功的信息安全策略因?yàn)榻M織的性質(zhì)、規(guī)模、環(huán)境各不相同，要徹底的回答這個(gè)問題幾乎是不可能的。但是我們也不是無(wú)章可循的，從理論上來考察，一個(gè)好的策略體系應(yīng)該保障組織的信息資產(chǎn)的機(jī)密性、可用性、完整性不被破壞；從實(shí)踐角度，我們可以試著對(duì)信息安全策略的組成部分和主要內(nèi)容進(jìn)行一下描述，并對(duì)策略整體的比較總結(jié)出一些衡量指標(biāo)，便于我們制定選擇更好的策略。（一）一個(gè)正式的信息安全策略應(yīng)該包括下列信息： 適用范圍：包括人員和時(shí)間上的范圍，例如“平等的適用于所有雇員，本規(guī)定適用于工作時(shí)間和非工作時(shí)間”，消除本該受到約束的員工產(chǎn)生自己是個(gè)例外的想法，也保證策略不至于被誤解為是針對(duì)某個(gè)人的。 目標(biāo)：例如“為確保公司的技術(shù)、經(jīng)營(yíng)秘密不流失，維護(hù)企業(yè)的經(jīng)濟(jì)利益，根據(jù)國(guó)家有關(guān)法規(guī)，結(jié)合企業(yè)實(shí)際，特制定本條例?！泵鞔_了信息安全保護(hù)對(duì)公司是有重要意義的，而不是毫無(wú)意義和不必要的，是與國(guó)家法律相一致的而不是不受法律保護(hù)的。主題明確的策略可能有更明確的目標(biāo)，例如防病毒策略的目標(biāo)可以是：“為了正確執(zhí)行對(duì)計(jì)算機(jī)病毒、蠕蟲、特洛伊木馬的預(yù)防、偵測(cè)和清除過程，特制定本策略”。 策略主體，詳細(xì)內(nèi)容見（二）。 策略簽署。信息安全策略是強(qiáng)制性的、懲罰性的，策略的執(zhí)行需要來自管理層的支持，通常是信息安全主管或者執(zhí)行總裁，也可能是部門的主管，但是簽署人的管理地位不能太低，否則會(huì)有執(zhí)行的難度，如果遭到某高層主管抵制常會(huì)導(dǎo)致策略流產(chǎn)。高層主管的簽署也表明信息安全不僅是信息安全部門的事情，而是和整個(gè)組織所有成員都密切相關(guān)的事情。 策略的生效時(shí)間和有效期（或者重新評(píng)審時(shí)間）。舊策略的更新和過時(shí)策略的廢除是很重要的，應(yīng)該保持生效的策略中包含新的安全要求。 重新評(píng)審策略的時(shí)機(jī)。策略除了常規(guī)的評(píng)審時(shí)機(jī)，在下列情況下也需要重新評(píng)審：n 管理體系發(fā)生很大變化n 相關(guān)法律法規(guī)發(fā)生了變化n 信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化n 組織發(fā)生了重大的安全事故 與其他相關(guān)策略的引用關(guān)系。因?yàn)槎喾N策略可能相互關(guān)聯(lián)，引用關(guān)系可以描述策略的層次結(jié)構(gòu)，而且在策略修改的時(shí)候經(jīng)常涉及到相關(guān)策略的修改，清楚的引用關(guān)系也可以節(jié)省查找時(shí)間。 策略解釋、疑問響應(yīng)的人員或者部門。經(jīng)驗(yàn)表明由于工作環(huán)境不同、知識(shí)背景不同、措辭等原因可能導(dǎo)致誤解、歧義，應(yīng)該有一個(gè)權(quán)威的解釋人員或者解釋結(jié)構(gòu)。 一些例外情況的處理途徑。策略如果不允許例外情況可能會(huì)變得很死板，策略中應(yīng)該說明特殊情況的安全通道。 違反規(guī)定的后果和維護(hù)信息安全的獎(jiǎng)勵(lì)：例如規(guī)定“將給予開除處分”，簡(jiǎn)明扼要，一句話就表明了違反該規(guī)定的人會(huì)受到什么懲罰。策略的格式可以根據(jù)組織的慣例自行選擇，所列舉的項(xiàng)目也可以做適當(dāng)?shù)脑鰟h，例如還可以在策略的開頭部分加上一個(gè)關(guān)于策略的簡(jiǎn)短說明；策略評(píng)審的時(shí)機(jī)和例外情況的處理等內(nèi)容不一定每個(gè)策略都有，整個(gè)組織可以對(duì)這些內(nèi)容只做一個(gè)總括性的說明（例如作為信息安全策略手冊(cè)的通用說明出現(xiàn)是個(gè)好的做法）。下圖是某公司的Email安全策略的部分內(nèi)容，供大家參考。某公司電子郵件策略 發(fā)布部門 科技信息部 生效時(shí)間 年 月 日 批準(zhǔn)人 編號(hào) XISMS-P-55 介紹 制定這個(gè)策略是為了讓每位員知曉在Email的過程中好的操作方法，明確Email使用過程中的責(zé)任。 目標(biāo) 為了建立某公司的Email使用規(guī)則，保證Email的合理發(fā)送、收取和存儲(chǔ)。 適用范圍 該Email策略平等的適用于某公司能夠通過Email發(fā)送、收取和存儲(chǔ)信息的所有職員。 術(shù)語(yǔ)定義 略 電子郵件策略 下列行為是策略所禁止的 發(fā)送或者轉(zhuǎn)發(fā)與工作業(yè)務(wù)無(wú)關(guān)的個(gè)人信息； 發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動(dòng)信息； 發(fā)送或者轉(zhuǎn)發(fā)宣揚(yáng)個(gè)人政治傾向或者宗教信仰； 發(fā)送或者轉(zhuǎn)發(fā)發(fā)送垃圾信息； 發(fā)送或者轉(zhuǎn)發(fā)能夠引起連鎖發(fā)送的恐嚇、祝賀等信息； Email大小超過限制； 發(fā)送口令、密鑰、信用卡等的敏感信息； 用個(gè)人信息處理設(shè)備收發(fā)公司內(nèi)部Email； 用公司外部賬號(hào)發(fā)送、轉(zhuǎn)發(fā)、收取公司敏感信息； 在非授權(quán)情況下以公司的名義發(fā)表個(gè)人意見； 發(fā)送或者轉(zhuǎn)發(fā)可能有計(jì)算機(jī)病毒的信息； 使用非授權(quán)的電子郵件收發(fā)軟件； 下列行為是策略所要求的 每位員工都有一個(gè)Email賬號(hào)，賬號(hào)密碼必須符合XISMS-P-56口令策略； 用Email經(jīng)過外部網(wǎng)絡(luò)發(fā)送機(jī)密信息必須經(jīng)過加密，加密必須符合XISMS-P-34加密策略； 發(fā)送Email必須有清楚的主題； Email在的處理和存儲(chǔ)必須符合XISMS-P-02信息的分類、標(biāo)識(shí)和存儲(chǔ)策略； 管理授權(quán) 公司有權(quán)對(duì)職員的Email進(jìn)行監(jiān)視和記錄； 公司有權(quán)對(duì)Email的內(nèi)容進(jìn)行存儲(chǔ)備份以用于法律目的； Email附件的加密及加密方法應(yīng)該獲得公司的批準(zhǔn)，密碼需要在公司備案； 懲罰 違背這個(gè)策略，根據(jù)情節(jié)輕重處以罰款、降級(jí)、開除等處罰，違背法律法規(guī)的訴諸法律程序追究法律責(zé)任。 引用標(biāo)準(zhǔn) XISMS-P-02信息的分類、標(biāo)識(shí)和存儲(chǔ)策略 XISMS-P-21口令策略 XISMS-P-34加密策略 發(fā)布時(shí)間： 年 月 日 第 頁(yè)， 共 頁(yè) （二）信息安全策略的主體內(nèi)容信息安全策略通常不是一篇文檔，根據(jù)組織的復(fù)雜程度還可能分成幾個(gè)層次，其主題內(nèi)容各不相同。但是每個(gè)主題的策略都應(yīng)該簡(jiǎn)潔、清晰的闡明什么行為是組織所望的，提供足夠的信息，保證相關(guān)人員僅通過策略自身就可以判斷哪些策略內(nèi)容是和自己的工作環(huán)境相關(guān)的，是適用于哪些信息資產(chǎn)和處理過程的。例如“絕密級(jí)的技術(shù)、經(jīng)營(yíng)戰(zhàn)略，只限于主管部門總經(jīng)理或副總經(jīng)理批準(zhǔn)的直接需要的科室和人員使用，使用科室和人員必須做好使用過程的保密工作，而且必須辦理登記手續(xù)?！笔姑恳晃宦殕T都明確組織對(duì)他授予了什么權(quán)利，以及對(duì)信息資源所負(fù)的責(zé)任。通常一個(gè)組織可能會(huì)考慮開發(fā)下列主題的信息安全策略：1. 環(huán)境和設(shè)備的安全2. 信息資產(chǎn)的分級(jí)和人員責(zé)任3. 安全事故的報(bào)告與響應(yīng)4. 第三方訪問的安全性5. 委外處理系統(tǒng)的安全6. 人員的任用、培訓(xùn)和職責(zé)7. 系統(tǒng)策劃、驗(yàn)收、使用和維護(hù)的安全要求8. 信息與軟件交換的安全9. 計(jì)算級(jí)和網(wǎng)絡(luò)的訪問控制和審核10. 遠(yuǎn)程工作的安全11. 加密技術(shù)控制12. 備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求13. 符合法律法規(guī)和技術(shù)指標(biāo)的要求也可以劃分更細(xì)一些，例如賬號(hào)管理策略、便攜式計(jì)算機(jī)使用策略、口令管理策略、防病毒策略、軟件控制策略、Email使用策略、Internet訪問控制策略等。每一種主題可以借鑒相關(guān)的標(biāo)準(zhǔn)和慣例，例如環(huán)境和設(shè)備安全可以參考的國(guó)家標(biāo)準(zhǔn)有：GB50174-93電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范、GB2887-89計(jì)算站場(chǎng)地技術(shù)條件、GB9361-88計(jì)算站場(chǎng)地安全要求等(當(dāng)然這些標(biāo)準(zhǔn)制定的時(shí)間比較早，組織需要根據(jù)自己的情況判斷吸收，一些信息安全要求比較高的組織可能在很多方面要超過這些標(biāo)準(zhǔn)的要求，對(duì)于大型組織也可以參考這些項(xiàng)目自己開發(fā)相應(yīng)的標(biāo)準(zhǔn))。（三）要衡量一個(gè)信息安全策略整體優(yōu)劣可以考慮的因素包括：l 目的性：策略是為組織完成自己的使命而制定的，策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求；l 適用性：策略應(yīng)該反映組織的真實(shí)環(huán)境，反映但前信息安全的發(fā)展水平；l 可行性：策略應(yīng)該具有切實(shí)可行性，其目標(biāo)應(yīng)該可以實(shí)現(xiàn)，并容易測(cè)量和審核。沒有可行性的策略不僅浪費(fèi)時(shí)間還會(huì)引起政策混亂；l 經(jīng)濟(jì)性：策略應(yīng)該經(jīng)濟(jì)合理，過分復(fù)雜和草率都是不可取的。l 完整性：能夠反映組織的所有業(yè)務(wù)流程安全需要；l 一致性：策略的一致性包括下面三個(gè)層次： 和國(guó)家、地方的法律法規(guī)保持一致 和組織已有的策略（方針）保持一致 整體安全策略保持一致，要反映企業(yè)對(duì)信息安全一般看法，保證用戶不把該策略看成是不合理的，甚至是針對(duì)某個(gè)人的。l 彈性：策略不僅要滿足當(dāng)前的組織要求，還要滿足組織和環(huán)境在未來一段時(shí)間內(nèi)發(fā)展的要求。當(dāng)然要開發(fā)一系列好的信息安全策略還必須措辭恰當(dāng)，良好的措辭可以造就優(yōu)秀的策略，而很差的用詞則會(huì)起到完全相反的結(jié)果，所選用的版式和媒體對(duì)策略的效果也會(huì)有些影響。三、信息安全策略是怎么形成的組織要制定一個(gè)科學(xué)系統(tǒng)的信息安全策略首先必須回答下面的問題：1. 組織有那些重要信息資產(chǎn)（信息和信息處理設(shè)施）？2. 這些資產(chǎn)面臨著什么樣的威脅？3. 組織的業(yè)務(wù)在多大程度上依賴于這些資產(chǎn)？這些資產(chǎn)一旦失效、失控或者泄密會(huì)給組織帶來多大的損失？4. 資產(chǎn)失效、失控或者泄密的可能性有多大？要回答這些問題，組織必須進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別出重要信息資產(chǎn)和相應(yīng)的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估至少需要考慮的因素包括法律法規(guī)的要求、合作伙伴的要求和組織自身業(yè)務(wù)發(fā)展的要求等。專業(yè)的風(fēng)險(xiǎn)評(píng)估應(yīng)該對(duì)風(fēng)險(xiǎn)進(jìn)行量化，分類級(jí)排序，以作為策略優(yōu)先等級(jí)的依據(jù)。一般組織沒有能力總結(jié)信息安全的所有要素，ISO 17799提供了相應(yīng)的材料，組織可以根據(jù)自己業(yè)務(wù)性質(zhì)和環(huán)境從中選擇安全要素。相關(guān)的術(shù)語(yǔ)和方法也可以從類似的標(biāo)準(zhǔn)中引用，例如： ISO/IEC TR 13335 信息技術(shù)安全管理指南 (Information technology-Security techniques -Guidelines for the management of IT security(GMITS) ISO/IEC 15408信息技術(shù)安全的評(píng)估準(zhǔn)則(Information technology - Security techniques-Evaluation criteria for IT security) GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GA 1631997計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則信息安全標(biāo)準(zhǔn)還有很多，識(shí)別這些信息安全標(biāo)準(zhǔn)并符合或者超過這些標(biāo)準(zhǔn)通常要比組織自己開發(fā)標(biāo)準(zhǔn)事半功倍。組織信息安全策略的開發(fā)也可以委托專業(yè)的信息安全服務(wù)公司進(jìn)行，這些服務(wù)公司根據(jù)其已有的策略模板和相關(guān)經(jīng)驗(yàn)，能夠迅速根據(jù)組織自身情況制定出合適的策略。四、如何使信息安全策略得到貫徹得不到貫徹的策略是一紙空文，執(zhí)行不正確或者力度不夠其效果也會(huì)大打折扣。信息安全策略的實(shí)施看起來簡(jiǎn)單做起來難，其關(guān)鍵是如何把策略準(zhǔn)確傳達(dá)給每一位相關(guān)人員。要把策略落實(shí)到每個(gè)人的日常工作中，需要很多方法的配合使用。比方說策略的分發(fā)有一定的技巧，把策略直接送交讀者，并收回舊版本的做法可以保證讀者總是能夠得到最新的版本；而要求讀者在策略生效之前簽署一個(gè)文本，說明已經(jīng)收到該版本的策略，已經(jīng)詳細(xì)閱讀且理解了其中的條款并且愿意遵守這些策略，這樣可以引起其足夠重視。組織或者部門根據(jù)信息安全策略開發(fā)或者修改信息操作程序文件也是一個(gè)好辦法，即建立一個(gè)文件化的信息安全管理體系，在組織的相應(yīng)程序文件中體現(xiàn)策略的有關(guān)要求。一個(gè)程序可能一次或者多次涉及到多條安全策略，如果組織的程序文件覆蓋組織的全部過程，那么程序文件也應(yīng)該覆蓋組織的所有安全策略，這樣程序文件和信息安全策略就組成一個(gè)縱橫交錯(cuò)的安全網(wǎng)絡(luò)，保證策略切實(shí)得到實(shí)施，將安全風(fēng)險(xiǎn)降低到可接受的水平。BS7799-2:2002信息安全管理體系規(guī)范是目前國(guó)際上應(yīng)用最廣泛、最典型的信息安全管理體系符合性標(biāo)準(zhǔn)，如果要建立文件化的信息安全管理體系可以參考之。能力和意識(shí)的培訓(xùn)也是把策略傳達(dá)下去的一種好方法，在組織缺乏程序文件的時(shí)候作用更是不可忽略。這就像一個(gè)駕駛員，沒有駕駛的程序文件，通過培訓(xùn)就能夠把交通規(guī)則自覺應(yīng)用到駕駛過程中的道理是一樣的。而且有針對(duì)性的培訓(xùn)可以讓相關(guān)人員很快對(duì)策略形成整體的認(rèn)識(shí)和比較深刻的印象，這是公文方式往往很難達(dá)到的效果。審核是策略得以實(shí)施的保障，組織必須有成文的審核辦法，詳細(xì)規(guī)定審核的周期和技術(shù)手段，及時(shí)發(fā)現(xiàn)問題及時(shí)解決?？偨Y(jié)這里從組織的角度來考慮信息安全策略問題。筆者認(rèn)為國(guó)家信息安全主管部門和標(biāo)準(zhǔn)委員會(huì)應(yīng)該為組織制定信息安全策略提供標(biāo)準(zhǔn)支持，保證組織能夠以很低的費(fèi)用制定出專業(yè)化的信息