企(qi)業(ye)在(zai)建立(li)ISO27001信(xin)(xin)息(xi)安(an)全(quan)(quan)(quan)(quan)(quan)管(guan)理(li)體系中(zhong)的(de)(de)信(xin)(xin)息(xi)安(an)全(quan)(quan)(quan)(quan)(quan)策(ce)(ce)略(lve)(lve)(lve)在(zai)解決組(zu)(zu)(zu)織(zhi)信(xin)(xin)息(xi)安(an)全(quan)(quan)(quan)(quan)(quan)問題(ti)具有十分 重要的(de)(de)地位。在(zai)一(yi)(yi)個(ge)大(da)的(de)(de)企(qi)業(ye)中(zhong),信(xin)(xin)息(xi)安(an)全(quan)(quan)(q����uan)(quan)(quan)策(ce)(ce)略(lve)(lve)(lve)的(de)(de)制(zhi)定者(zhe)可能是(shi)由一(yi)(yi)個(ge)多(duo)方人員(yuan)組(zu)(zu)(zu)成的(de)(de)小(xiao)組(zu)(zu)(zu),而在(zai)一(yi)(yi)個(ge)中(zhong)小(xiao)企(qi)業(ye)中(zhong),信(xin)(xin)息(xi)安(an)全(quan)(quan)(quan)(quan)(quan)策(ce)(ce)略(lve)(lve)(lve)的(de)(de)制(zhi)定者(zhe)一(yi)(yi)般是(shi)組(zu)(zu)(zu)織(zhi)的(de)(de)技(ji)術(shu)管(guan)理(li)者(zhe)。信(xin)(xin)息(xi)安(an)全(quan)(quan)(quan)(quan)(quan)策(ce)(ce)略(lve)(lve)(lve)定義(yi)了一(yi)(yi)個(ge)框架(jia),用以保(bao)護(hu)組(zu)(zu)(zu)織(zhi)的(de)(de)信(xin)(xin)息(xi)資產。安(an)全(quan)(quan)(quan)(quan)(quan)策(ce)(ce)略(lve)(lve)(lve)是(shi)所有保(bao)護(hu)措施的(de)(de)基(ji)礎,它是(shi)對(dui)整個(ge)企(qi)業(ye)優先權的(de)(de)描述(shu),明確了驅動安(an)全(quan)(quan)(quan)(quan)(quan)活(huo)動的(de)(de)基(ji)本������假設。 信(xin)(xin)息(xi)安(an)全(quan)(quan)(quan)(quan)(quan)策(ce)(ce)略(lve)(lve)(lve)是(shi)一(yi)(yi)組(zu)(zu)(zu)規則(ze)(ze),它們定義(yi)了一(yi)(yi)個(ge)組(zu)(zu)(zu)織(zhi)要實現的(de)(de)安(an)全(quan)(quan)(quan)(quan)(quan)目(mu)標(biao)(biao)和(he)實現這些安(an)全(quan)(quan)(quan)(quan)(quan)目(mu)標(biao)(biao)的(de)(de)途徑。這些規則(ze)(ze)表明了企(qi)業(ye)高級管(guan)理(li)者(zhe)關于信(xin)(xin)息(xi)安(an)全(quan)(quan)(quan)(quan)(quan)的(de)(de)決定和(he)管(guan)理(li)者(zhe)對(dui)信(xin)(xin)息(xi) 安(an)全(quan)(quan)(quan)(quan)(quan)的(de)(de)承(cheng)諾。
基于(yu)信息安(an)(an)全策略(lve)(lve)(lve)所做出(chu)的(de)(de)與(yu)安(an)(an)全相���關的(de)(de)決定,應(ying)該(gai)提(ti)供一個高層次 的(de)(de)原則性(xing)(xing)(xing)(xing)觀點,在范圍上是全面的(de)(de)。信息安(an)(an)全策略(lve)(lve)(lve)的(de)(de)內容(rong)不涉及具體做什么和如(ru)何做的(de)(de)問題,與(yu)技術(shu)方案相比,信息安(an)(an)全策略(lve)(lve)(lve)只(zhi)(zhi)是描述(shu)一個組織(zhi)保證信息安(an)(an)全的(de)(de)途徑 的(de)(de)指導性(xing)(xing)(xing)(xing)文件(jian),只(zhi)(zhi)需(xu)指出(chu)在信息安(an)(an)全管理方面要完成(cheng)的(de)(de)目標。信息安(an)(an)全策略(lve)(lve)(lve)對于(yu)整個組織(zhi)提(ti)供全局性(xing)(xing)(xing)(xing)指導,為具體的(de)(de)安(an)(an)全措(cuo)施和規定提(ti)供一個全局性(xing)(xing)(xing)(xing)框架。
信息安全策略的(de)制定者綜合(he)風險評估、信息對(dui)業(ye)務的(de)重要性,考(kao)(kao)慮(lv)組織所遵從的(de)安全標準(zhun),中小(xiao)企業(ye)的(de)信息安全策略主要需要考(kao)(�����kao)慮(lv)以下具體策略:
1.使(shi)用(yong)策略——描述設備使(shi)用(yong)、計算機服務使(shi)用(yong)和內部員工安全規定������(ding)、以保護企(qi)業(ye)的(de)信息和資源安全。
2.加(jia)密(mi)策略——描(m������iao)述企業對數據(ju)加(jia)密(mi)的安全要求。
3.訪問策(ce)略(lve)——定(ding)義訪問權力(li),指定(ding)用(yong)戶、工作(zuo)團體和(he)管理者可接(jie)受的(de)使用(yong)準(zhun)������則,以便從失敗(bai)或者泄密中保護資產。它(ta)應該提供指導(dao)性(xing)的(de)原則,用(yong)以指導(dao)外部連接(jie)、數據通信、向(xiang)網絡中連接(jie)設備和(he)向(xiang)系(xi)統中添(tian)加(jia)新的(de)軟件。它(ta)還需(xu)要指明任何需(xu)要通知(zhi)的(de)信息。
4.職責(ze)策略——定(ding)義用(yong)戶、工(gong)作團體和(he)管(guan)理(li)者的(de)職責(ze)。它應該(gai)規��������定(ding)審計能力(li)并提供事故(gu)處理(li)準則(也就是說,如(ru)果檢測到一個可能的(de)入侵的(de)話,需要做什么以及(ji)聯系誰)。
5��������.線路連接(jie)(jie)策略(lve)——描述(shu)諸例(li)如傳(chuan)真發送(song)和接������(jie)(jie)收、模擬(ni)線路與計算機的(de)連接(jie)(jie)、撥(bo)號連接(jie)(jie)等安全要求。
6.������反病毒策略(lve)——給出有效減少計�����(ji)算機病毒對(dui)企業的信(xin)息安(an)全威脅的一些(xie)指導方針(zhen),明確在哪些(xie)環節必須(xu)進行(xing)病毒檢測。
7.審計(ji)策(ce)略(lve)&������mdash;—描述信息安(an)全審計(ji)要求,包括(kuo)審計(ji)小組的人員組成(cheng)、權(quan)限、事(shi)故調查、信息安(an)全風險估計(ji)、信息安(an)全策(ce)略(lve)符合程度評價、對用戶和系統(tong)活(huo)(huo)動進(jin)行監控等活(huo)(huo)動的要求。
8.敏感信息策略—&m��������dash;�����對于組織的機密信息進行分級,按照它們的敏感度描述(shu)安全(quan)要求。
9.電(dian)(dia����n)子郵件使用策略——描述組織內部和外部電(dian)(dian)子郵件接收、傳(chuan)遞的安全要求(qiu)。
1�������0.�������數據庫策略——描述信息的存儲、檢索、更(geng)新等管理數據庫數據的安全(quan)要(yao)求。
11.內部策(ce)略(lve)——描述對(dui)組織內部的各種(zhong)活動信息安(an)������全(quan)的要求(qiu),使組織的產品、服務和利益(yi)受到充分保護������(hu)。
12.互聯網接入策略——定義在組織(zhi)防火(h���uo)墻之外的設備和操作的安全要(yao)求。
13.遠程(cheng)訪問(wen)(wen)策略(lve)——定(ding)義(yi)從組(zu)織外(wai)部(bu)(bu)計算機(ji)或者網絡連接到(dao)組(zu)織內(nei)部(bu)(b�������u)網絡進行外(wai)部(bu)(bu)訪問(wen)(wen)的安全要求。
14.口(kou)令(ling)防護(hu)策略(lve)—&mdash�����;定義創(chuang)建、保護(hu)和改變(bian)口(kou)令(ling)的要(y�����ao)求。
15.路(lu)(lu)由器安全策(ce)略——定義組織內部路(l����u)(lu)由器與(yu)交換(huan)機的最(zui)低安全配置要求。
16.服務器安全策略——��������定義組織內部的(de)(de)服務器的(de)(de)最低安全配置�����(zhi)要(yao)求(qiu)。
必須要(yao)意識(shi)到制(zhi)定和落實信(xin)息(xi)(xi)安全策(ce)略是一個長期、艱苦的工作,需要(yao)付出艱苦的努力(li),并(bing)且由于牽(����qian)扯到信(xin)息(xi)(xi)系統許多(duo)部門和絕大(da)多(duo)數人(ren)員,可能需要(yao)改變工作方式和 流程,所以推行(xing)起來的阻力(li)會(hui)相當(dang)大(da)。同時信(xin)息(xi)(xi)安全策(ce)略本身存在的缺(que)陷(xian),包(bao)括不切(qie)實可行(xing),太(tai)過(guo)復雜和繁瑣,部分規定有缺(que)陷(xian)等(deng)(deng)等(deng)(deng),都(dou)會(hui)導(dao)致整體策(ce)略難以落實。
