信息安全管理讲座学习目标：学习目标：理解策略的含义掌握策略制定的原则、掌握策略制定的原则、内容和编写方法熟悉信息安全管理机构的构成了解制定信息安全管理制度的原则了解基本的信息安全法律法规11.1制定信息安全管理策略信息安全管理策略概述信息安全管理策略也称信息安全方针，信息安全管理策略也称信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的准则和规划，息处理设施进行管理、保护和分配的准则和规划，以及使信息系统免遭入侵和破坏而必须采取的措施。系统免遭入侵和破坏而必须采取的措施。它告诉组织成员在日常的工作中什么是必须做的，什么是可以做的，常的工作中什么是必须做的，什么是可以做的，什么是不可以做的；哪里是安全区，哪里是敏感区，做的；哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全方面的行为规范。和行人，信息安全策略是有关信息安全方面的行为规范。一个成功的安全策略应当遵循：成功的安全策略应当遵循：1）综合平衡(综合考虑需求、风险、代价等诸多因素)。综合平衡(综合考虑需求、风险、代价等诸多因素)整体优化(利用系统工程思想，使系统总体性能最优)2）整体优化(利用系统工程思想，使系统总体性能最优)。3）易于操作和确保可靠。易于操作和确保可靠。11.2制定信息安全管理策略制定策略的原则在制定信息安全管理策略时，要严格遵守以下主要原则。在制定信息安全管理策略时，要严格遵守以下主要原则。目的性。策略是为组织完成自己的信息安全使命而制定的，1）目的性。策略是为组织完成自己的信息安全使命而制定的，策略应该反映组织的整体利益和可持续发展的要求。该反映组织的整体利益和可持续发展的要求。适用性。策略应该反映组织的真实环境和信息安全的发展水平。2）适用性。策略应该反映组织的真实环境和信息安全的发展水平。3）可行性。策略应该具有切实可行性，其目标应该可以实现，并容易可行性。策略应该具有切实可行性，其目标应该可以实现，测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。经济性。策略应该经济合理，过分复杂和草率都是不可取的。4）经济性。策略应该经济合理，过分复杂和草率都是不可取的。完整性。能够反映组织的所有业务流程的安全需要。5）完整性。能够反映组织的所有业务流程的安全需要。一致性。策略的一致性包括下面三个层次：和国家、6）一致性。策略的一致性包括下面三个层次：①和国家、地方的法律法规保持一致；和组织己有的策略、方针保持一致；法规保持一致；②和组织己有的策略、方针保持一致；③整体安全策略保持一致，要反映企业对信息安全的一般看法。持一致，要反映企业对信息安全的一般看法。弹性。策略不仅要满足当前的组织要求，7）弹性。策略不仅要满足当前的组织要求，还要满足组织和环境在未来一段时间内发展的要求。来一段时间内发展的要求。11.3制定信息安全管理策略策略的主要内容理论上，一个完整的策略体系应该保障组织信息的机密性、理论上，一个完整的策略体系应该保障组织信息的机密性、可用性和完整性。信息安全策略应包含下列一些内容：可用性和完整性。信息安全策略应包含下列一些内容：1）适用范围。包括人员范围和时效性，例如“本规定适用于所有员适用范围。包括人员范围和时效性，例如“适用于工作时间和非工作时间”工”，“适用于工作时间和非工作时间”。不仅要消除本该受到约束的员工有认为自己是个例外的想法，工有认为自己是个例外的想法，也保证策略不至于被误解是针对某个员工同时也告诉员工本规定在什么时间发挥效力。的；同时也告诉员工本规定在什么时间发挥效力。2）目标。例如，“为确保企业的经营、技术等机密信息不泄漏，维护目标。例如，为确保企业的经营、技术等机密信息不泄漏，企业的经济利益，根据国家有关法律，结合企业实际，特制定本条例。”企业的经济利益，根据国家有关法律，结合企业实际，特制定本条例。明确了信息安全保护对公司是有着重要意义的，而且与国家的法律法规是明确了信息安全保护对公司是有着重要意义的，一致的。主题明确的策略可能会有更加确切、详细的目标，如防病毒策略一致的。主题明确的策略可能会有更加确切、详细的目标，的目标可以是：“为了正确执行对计算机病毒（蠕虫、特洛伊木马、黑客的目标可以是：为了正确执行对计算机病毒（蠕虫、特洛伊木马、恶意程序）的预防、侦测和清除过程，特制定本策略”。恶意程序）的预防、侦测和清除过程，特制定本策略”11.3制定信息安全管理策略策略的主要内容(策略的主要内容(续)3）策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略主题。策略：设备和及其环境的安全。信息的分级和人员责任。策略：①设备和及其环境的安全。②