企業(yè)在建立ISO27001信息安全管理體系中的信息安全策略在解決組織信息安全問(wèn)題具有十分 重要的地位。在一個(gè)大的企業(yè)中�����,信息安全策略的制定者可能是由一個(gè)多方人員組成的小組�,而在一個(gè)中小企業(yè)中�����,信息安全策略的制定者一般是組織的技術(shù)管理者�。信息安全策略定義了一個(gè)框架��,用以保護(hù)組織的信息資產(chǎn)。安全策略是所有保護(hù)措施的基礎(chǔ)����,它是對(duì)整個(gè)企業(yè)優(yōu)先權(quán)的描述���,明確了驅(qū)動(dòng)安全活動(dòng)的基本假設(shè)��。 信息安全策略是一組規(guī)則,它們定義了一個(gè)組織要實(shí)現(xiàn)的安全目標(biāo)和實(shí)現(xiàn)這些安全目標(biāo)的途徑��。這些規(guī)則表明了企業(yè)高級(jí)管理者關(guān)于信息安全的決定和管理者對(duì)信息 安全的承諾�。
基于信息安全策略所做出的與安全相關(guān)的決定,應(yīng)該提供一個(gè)高層次 的原則性觀點(diǎn)���,在范圍上是全面的。信息安全策略的內(nèi)容不涉及具體做什么和如何做的問(wèn)題,與技術(shù)方案相比,信息安全策略只是描述一個(gè)組織保證信息安全的途徑 的指導(dǎo)性文件,只需指出在信息安全管理方面要完成的目標(biāo)�。信息安全策略對(duì)于整個(gè)組織提供全局性指導(dǎo)�����,為具體的安全措施和規(guī)定提供一個(gè)全局性框架���。
信息安全策略的制定者綜合風(fēng)險(xiǎn)評(píng)估���、信息對(duì)業(yè)務(wù)的重要性��,考慮組織所遵從的安全標(biāo)準(zhǔn),中小企業(yè)的信息安全策略主要需要考慮以下具體策略:
1.使用策略——描述設(shè)備使用���、計(jì)算機(jī)服務(wù)使用和內(nèi)部員工安全規(guī)定、以保護(hù)企業(yè)的信息和資源安全�����。
2.加密策略——描述企業(yè)對(duì)數(shù)據(jù)加密的安全要求����。
3.訪問(wèn)策略——定義訪問(wèn)權(quán)力�,指定用戶、工作團(tuán)體和管理者可接受的使用準(zhǔn)則�����,以便從失敗或者泄密中保護(hù)資產(chǎn)�����。它應(yīng)該提供指導(dǎo)性的原則�,用以指導(dǎo)外部連接���、數(shù)據(jù)通信���、向網(wǎng)絡(luò)中連接設(shè)備和向系統(tǒng)中添加新的軟件�。它還需要指明任何需要通知的信息。
4.職責(zé)策略——定義用戶����、工作團(tuán)體和管理者的職責(zé)�����。它應(yīng)該規(guī)定審計(jì)能力并提供事故處理準(zhǔn)則(也就是說(shuō),如果檢測(cè)到一個(gè)可能的入侵的話���,需要做什么以及聯(lián)系誰(shuí))。
5.線路連接策略——描述諸例如傳真發(fā)送和接收、模擬線路與計(jì)算機(jī)的連接�����、撥號(hào)連接等安全要求���。
6.反病毒策略——給出有效減少計(jì)算機(jī)病毒對(duì)企業(yè)的信息安全威脅的一些指導(dǎo)方針�����,明確在哪些環(huán)節(jié)必須進(jìn)行病毒檢測(cè)。
7.審計(jì)策略——描述信息安全審計(jì)要求��,包括審計(jì)小組的人員組成��、權(quán)限�����、事故調(diào)查、信息安全風(fēng)險(xiǎn)估計(jì)、信息安全策略符合程度評(píng)價(jià)���、對(duì)用戶和系統(tǒng)活動(dòng)進(jìn)行監(jiān)控等活動(dòng)的要求。
8.敏感信息策略——對(duì)于組織的機(jī)密信息進(jìn)行分級(jí),按照它們的敏感度描述安全要求�。
9.電子郵件使用策略——描述組織內(nèi)部和外部電子郵件接收�����、傳遞的安全要求��。
10.數(shù)據(jù)庫(kù)策略——描述信息的存儲(chǔ)、檢索、更新等管理數(shù)據(jù)庫(kù)數(shù)據(jù)的安全要求���。
11.內(nèi)部策略——描述對(duì)組織內(nèi)部的各種活動(dòng)信息安全的要求,使組織的產(chǎn)品、服務(wù)和利益受到充分保護(hù)��。
12.互聯(lián)網(wǎng)接入策略——定義在組織防火墻之外的設(shè)備和操作的安全要求�����。
13.遠(yuǎn)程訪問(wèn)策略——定義從組織外部計(jì)算機(jī)或者網(wǎng)絡(luò)連接到組織內(nèi)部網(wǎng)絡(luò)進(jìn)行外部訪問(wèn)的安全要求����。
14.口令防護(hù)策略——定義創(chuàng)建�����、保護(hù)和改變口令的要求。
15.路由器安全策略——定義組織內(nèi)部路由器與交換機(jī)的最低安全配置要求��。
16.服務(wù)器安全策略——定義組織內(nèi)部的服務(wù)器的最低安全配置要求����。
必須要意識(shí)到制定和落實(shí)信息安全策略是一個(gè)長(zhǎng)期、艱苦的工作����,需要付出艱苦的努力����,并且由于牽扯到信息系統(tǒng)許多部門和絕大多數(shù)人員�,可能需要改變工作方式和 流程,所以推行起來(lái)的阻力會(huì)相當(dāng)大�。同時(shí)信息安全策略本身存在的缺陷�,包括不切實(shí)可行����,太過(guò)復(fù)雜和繁瑣,部分規(guī)定有缺陷等等���,都會(huì)導(dǎo)致整體策略難以落實(shí)。
