課信息安全策略管理

信息安全策略管理引題SubText如果你是一名組織機構(gòu)的信息安全執(zhí)行主官，為了保護本機構(gòu)信息的安全，需要制定符合實際情況的信息安全策略，你會如何來做？信息安全策略內(nèi)涵及重要意義123內(nèi)容信息安全策略的分類信息安全策略的規(guī)劃與實施1信息安全策略的內(nèi)涵及重要意義一、信息安全策略的內(nèi)涵信息安全策略從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護的一個計劃，其目標是為信息安全提供管理指導和支持。

1信息安全策略的內(nèi)涵及重要意義一、信息安全策略的內(nèi)涵信息安全策略是信息安全的靈魂。

信息安全策略是一切信息安全保障活動的基礎和出發(fā)點。1信息安全策略的內(nèi)涵及重要意義二、信息安全策略的作用向組織成員闡明如何使用組織中信息系統(tǒng)資源，如何處理敏感信息；用戶在使用信息時應當承擔什么樣的責任；描述對人員的安全意識與技能要求；如何使用安全技術(shù)產(chǎn)品；列出被組織禁止的行為等等。1信息安全策略的內(nèi)涵及重要意義三、信息安全策略的作用方式策略防護測評管理監(jiān)視響應1信息安全策略的內(nèi)涵及重要意義三、信息安全策略的作用方式策略防護測評管理監(jiān)視響應1信息安全策略的內(nèi)涵及重要意義三、信息安全策略的作用方式策略防護測評管理監(jiān)視響應1信息安全策略的內(nèi)涵及重要意義信息安全策略的規(guī)劃與實施是保護組織信息安全的重要一步。1信息安全策略的內(nèi)涵及重要意義信息安全策略的規(guī)劃與實施是保護組織信息安全的重要一步。信息安全策略的正確制定與實施對組織的信息安全起著非常重要的作用。1信息安全策略的內(nèi)涵及重要意義四、信息安全策略管理的必要性隨著全球信息化程度越來越高，信息系統(tǒng)越來越復雜、所受的威脅也越來越多，信息安全保障工作復雜性和難度隨之增強，在制定信息安全措施時必須考慮一套科學的、系統(tǒng)的安全策略規(guī)劃與實施程序。2信息安全策略的分類2信息安全策略的分類一、按信息安全策略層次劃分

戰(zhàn)略性信息安全策略戰(zhàn)術(shù)性信息安全策略操作性信息安全策略

2信息安全策略的分類一、按信息安全策略層次劃分

戰(zhàn)略性信息安全策略改革開發(fā)軍人必須遵守國家、軍隊的保密法規(guī)、嚴守保密紀律、保守軍事秘密

戰(zhàn)術(shù)性信息安全策略增強境外人才引進十調(diào)禁令操作性信息安全策略規(guī)定人才能夠引進的類型，相應的優(yōu)惠政策裝備保密系統(tǒng)，設置保密系統(tǒng)的安全策略2信息安全策略的分類2信息安全策略的分類不同層次類型的信息安全策略，是由不同層次角色人員負責制定。2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分

國家標準：“GB/T22239-2008信息系統(tǒng)安全等級保護基本要求”中信息安全策略劃分國際標準：“ISO/IEC27002信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)則”中信息安全策略劃分2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分

國家標準：“GB/T22239-2008信息系統(tǒng)安全等級保護基本要求”技術(shù)類策略1物理安全2網(wǎng)絡安全3主機系統(tǒng)安全4應用安全5數(shù)據(jù)安全管理類策略1安全管理機構(gòu)2安全管理制度3人員安全管理4系統(tǒng)建設管理5系統(tǒng)運維管理2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分

國際標準：“ISO/IEC27002信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)則”1信息安全方針和策略；2信息安全組織；3資產(chǎn)分類與控制；4人員安全；5物理與環(huán)境安全；6通信、運行與操作安全；7訪問控制；8系統(tǒng)獲取、開發(fā)與維護；9安全事故管理；10業(yè)務持續(xù)性管理；11符合性。2信息安全策略的分類二、按信息安全策略領(lǐng)域劃分

國際標準：“ISO/IEC27002信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)則”1信息安全方針和策略；2信息安全組織；3資產(chǎn)分類與控制；4人員安全；5物理與環(huán)境安全；6通信、運行與操作安全；7訪問控制；8系統(tǒng)獲取、開發(fā)與維護；9安全事故管理；10業(yè)務持續(xù)性管理；11符合性。依據(jù)以上信息安全策略的分類，使我們建立起一個信息安全策略范疇。3信息安全策略的規(guī)劃與實施信息安全策略從哪來？如何獲??？

3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施需求策略描述了系統(tǒng)要達到的安全要求和提供的安全功能，以及應該阻止或避免什么事件的發(fā)生，這是編寫和定義安全策略的依據(jù)和基礎。3信息安全策略的規(guī)劃與實施需求策略描述了系統(tǒng)要達到的安全要求和提供的安全功能，以及應該阻止或避免什么事件的發(fā)生，這是編寫和定義安全策略的依據(jù)和基礎。3信息安全策略的規(guī)劃與實施需求策略描述了系統(tǒng)要達到的安全要求和提供的安全功能，以及應該阻止或避免什么事件的發(fā)生，這是編寫和定義安全策略的依據(jù)和基礎。服務策略指明實現(xiàn)系統(tǒng)安全需求應提供的安全服務。安全服務具體包括：標識與認證、授權(quán)與訪問控制、保密性與完整性、數(shù)字簽名與抗抵賴、安全審計、入侵檢測、響應與恢復、病毒防范、容錯與備份等。服務策略是需求策略的具體化，是對具體實體策略的抽象。3信息安全策略的規(guī)劃與實施需求策略描述了系統(tǒng)要達到的安全要求和提供的安全功能，以及應該阻止或避免什么事件的發(fā)生，這是編寫和定義安全策略的依據(jù)和基礎。服務策略指明實現(xiàn)系統(tǒng)安全的需求，系統(tǒng)應提供何種安全服務，具體包括標識與認證、授權(quán)與訪問控制、保密性與完整性、數(shù)字簽名與抗抵賴、安全審計、入侵檢測、響應與恢復、病毒防范、容錯與備份等。服務策略是需求策略的具體化，是對具體實體策略的抽象。實體策略描述的是如何將上兩層策略付諸工程實現(xiàn)，該層策略進一步細分為描述層策略和配置命令策略。3信息安全策略的規(guī)劃與實施一、信息安全策略的制定信息安全策略的制定是一個非常復雜的智力活動。二、信息安全策略的制定（通用）原則

起點進入原則長遠安全預期原則最小特權(quán)原則適度復雜與經(jīng)濟原則3信息安全策略的規(guī)劃與實施三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施制訂安全策略之前的一個必要步驟，其是確認該策略所應用的范圍，例如是在整個組織還是在某個部門。如果沒有明確范圍就制訂策略無異于無的放矢。三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施事實上任何項目的推進都無法離開管理層的支持，安全策略的實施也是如此。先從管理層獲得足夠的承諾有很多好處，可以為后面的工作鋪平道路，還可以了解組織總體上對安全策略的重視程度，而且與管理層的溝通也是將安全工作進一步導向更理想狀態(tài)的一個契機。三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施安全性分析主要目標：是確定需要進行保護的信息資產(chǎn)，及其對組織的絕對和相對價值，在決定保護措施的時候需要參照這一步驟所獲得的信息。三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施安全性分析主要目標：是確定需要進行保護的信息資產(chǎn)，及其對組織的絕對和相對價值，在決定保護措施的時候需要參照這一步驟所獲得的信息。安全性分析需要考慮的關(guān)鍵問題：需要保護什么，需要防范哪些威脅，受到攻擊的可能性，攻擊發(fā)生時可能造成的損失，能夠采取的防范措施，防范措施的成本和效果評估等。三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施通常來說至少應該與負責技術(shù)部門和負責業(yè)務部門的人員進行一些會議，在這些會議上應該向這些人員灌輸在分析階段所得出的結(jié)論并爭取這些人員的認同。如果有其它屬于安全策略應用范圍內(nèi)的業(yè)務單位，那么也應該讓其加入到這項工作。三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施在達成一致并獲得了組織內(nèi)部足夠的支持，就可以開始著手建立實際的策略了。這個策略版本會形成最終策略的框架和主要內(nèi)容，并作為最后的評估和確認工作的基準。三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施該部分工作是在之前的基礎上進一步與所有風險承擔者一同對安全策略進行確認，從而最終形成修正后的正式的策略版本。在這個階段會往往會有更多的人員參與進來，應該進一步爭取所有相關(guān)人員的支持。三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施當安全策略制定完成之后還需要在組織內(nèi)成功的進行發(fā)布，使組織成員仔細閱讀并充分理解策略的內(nèi)容?？梢酝ㄟ^組織主要的信息發(fā)布渠道對安全策略進行廣泛發(fā)布，例如組織的內(nèi)部信息系統(tǒng)、例會、培訓活動等等。三、信息安全策略的制定與執(zhí)行流程

確定應用范圍獲得管理支持進行安全分析會見關(guān)鍵人員制訂策略草案開展策略評估發(fā)布安全策略隨需修訂策略3信息安全策略的規(guī)劃與實施隨著應用環(huán)境的變化，信息安全策略也必須隨之變化和發(fā)展才能繼續(xù)發(fā)揮作用。通常組織應該每季度進行一次策略評估，每年至少應該進行一次策略更新。四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實施四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實施安全策略管理的文檔組織安全策略管理的關(guān)鍵技術(shù)四、信息安全策略的手段

3信息安全策略的規(guī)劃與實施四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實施安全策略管理文檔有哪些類型？如何組織？四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實施安全策略管理文檔有哪些類型？3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施四、信息安全策略的管理手段

3信息安全策略的規(guī)劃與實施安全策略管理文檔內(nèi)容格式如何組織？3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施3信息安全策略的規(guī)劃與實施五.信息安全策略管理相關(guān)技術(shù)安全策略統(tǒng)一描述技術(shù)安全策略自動翻譯技術(shù)安全策略一致性驗證技術(shù)安全策略狀態(tài)監(jiān)控技術(shù)3信息安全策略的規(guī)劃與實施五.信息安全策略管理相關(guān)技術(shù)安全策略統(tǒng)一描述技術(shù)實施安全策略管理的前提是實現(xiàn)對安全設備策略的統(tǒng)一描述，將眾多的安全設備的策略格式用同一種描述方法進行表示，達到安全設備的策略被統(tǒng)一管理的目的。

目前提出的比較流行的安全策略統(tǒng)一描述語言有Ponder和XACML語言。3信息安全策略的規(guī)劃與實施五.信息安全策略管理相關(guān)技術(shù)實體策略轉(zhuǎn)換將描述層策略轉(zhuǎn)換成設備具體的配置命令。通過建立科學的策略轉(zhuǎn)換知識庫，設計策略轉(zhuǎn)換編譯器，即可實現(xiàn)實體策略的自動翻譯。實體策略轉(zhuǎn)換分兩階段進行。安全策略自動翻譯轉(zhuǎn)換技術(shù)3信息安全策略的規(guī)劃與實施五.信息安全策略管理相關(guān)技術(shù)安全策略一致性驗證技術(shù)屏蔽沖突：當一個排序在后的規(guī)則能匹配的所有數(shù)據(jù)包也能被一個排序在前的規(guī)則匹配時，那么這個排序在后的規(guī)則將永遠無法得到應用，這種策略沖突就稱為屏蔽沖突。關(guān)聯(lián)沖突：如果兩個動作不同的規(guī)則之間存在關(guān)聯(lián)關(guān)系，那么其允許集或拒絕集之間就會有重疊；此時這兩個規(guī)則的順序就非常重要，如果調(diào)換兩者的順序，就會產(chǎn)生完全相反的結(jié)果。這種策略沖突稱為關(guān)聯(lián)沖突。3信息安全策略的規(guī)劃與實施五.信息