课信息安全策略管理

信息安全策略管理引题SubText如果你是一名组织机构的信息安全执行主官，为了保护本机构信息的安全，需要制定符合实际情况的信息安全策略，你会如何来做？信息安全策略内涵及重要意义123内容信息安全策略的分类信息安全策略的规划与实施1信息安全策略的内涵及重要意义一、信息安全策略的内涵信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目标是为信息安全提供管理指导和支持。

1信息安全策略的内涵及重要意义一、信息安全策略的内涵信息安全策略是信息安全的灵魂。

信息安全策略是一切信息安全保障活动的基础和出发点。1信息安全策略的内涵及重要意义二、信息安全策略的作用向组织成员阐明如何使用组织中信息系统资源，如何处理敏感信息；用户在使用信息时应当承担什么样的责任；描述对人员的安全意识与技能要求；如何使用安全技术产品；列出被组织禁止的行为等等。1信息安全策略的内涵及重要意义三、信息安全策略的作用方式策略防护测评管理监视响应1信息安全策略的内涵及重要意义三、信息安全策略的作用方式策略防护测评管理监视响应1信息安全策略的内涵及重要意义三、信息安全策略的作用方式策略防护测评管理监视响应1信息安全策略的内涵及重要意义信息安全策略的规划与实施是保护组织信息安全的重要一步。1信息安全策略的内涵及重要意义信息安全策略的规划与实施是保护组织信息安全的重要一步。信息安全策略的正确制定与实施对组织的信息安全起着非常重要的作用。1信息安全策略的内涵及重要意义四、信息安全策略管理的必要性随着全球信息化程度越来越高，信息系统越来越复杂、所受的威胁也越来越多，信息安全保障工作复杂性和难度随之增强，在制定信息安全措施时必须考虑一套科学的、系统的安全策略规划与实施程序。2信息安全策略的分类2信息安全策略的分类一、按信息安全策略层次划分

战略性信息安全策略战术性信息安全策略操作性信息安全策略

2信息安全策略的分类一、按信息安全策略层次划分

战略性信息安全策略改革开发军人必须遵守国家、军队的保密法规、严守保密纪律、保守军事秘密

战术性信息安全策略增强境外人才引进十调禁令操作性信息安全策略规定人才能够引进的类型，相应的优惠政策装备保密系统，设置保密系统的安全策略2信息安全策略的分类2信息安全策略的分类不同层次类型的信息安全策略，是由不同层次角色人员负责制定。2信息安全策略的分类二、按信息安全策略领域划分

国家标准：“GB/T22239-2008信息系统安全等级保护基本要求”中信息安全策略划分国际标准：“ISO/IEC27002信息技术—安全技术—信息安全管理实践规则”中信息安全策略划分2信息安全策略的分类二、按信息安全策略领域划分

国家标准：“GB/T22239-2008信息系统安全等级保护基本要求”技术类策略1物理安全2网络安全3主机系统安全4应用安全5数据安全管理类策略1安全管理机构2安全管理制度3人员安全管理4系统建设管理5系统运维管理2信息安全策略的分类二、按信息安全策略领域划分

国际标准：“ISO/IEC27002信息技术—安全技术—信息安全管理实践规则”1信息安全方针和策略；2信息安全组织；3资产分类与控制；4人员安全；5物理与环境安全；6通信、运行与操作安全；7访问控制；8系统获取、开发与维护；9安全事故管理；10业务持续性管理；11符合性。2信息安全策略的分类二、按信息安全策略领域划分

国际标准：“ISO/IEC27002信息技术—安全技术—信息安全管理实践规则”1信息安全方针和策略；2信息安全组织；3资产分类与控制；4人员安全；5物理与环境安全；6通信、运行与操作安全；7访问控制；8系统获取、开发与维护；9安全事故管理；10业务持续性管理；11符合性。依据以上信息安全策略的分类，使我们建立起一个信息安全策略范畴。3信息安全策略的规划与实施信息安全策略从哪来？如何获取？

3信息安全策略的规划与实施3信息安全策略的规划与实施需求策略描述了系统要达到的安全要求和提供的安全功能，以及应该阻止或避免什么事件的发生，这是编写和定义安全策略的依据和基础。3信息安全策略的规划与实施需求策略描述了系统要达到的安全要求和提供的安全功能，以及应该阻止或避免什么事件的发生，这是编写和定义安全策略的依据和基础。3信息安全策略的规划与实施需求策略描述了系统要达到的安全要求和提供的安全功能，以及应该阻止或避免什么事件的发生，这是编写和定义安全策略的依据和基础。服务策略指明实现系统安全需求应提供的安全服务。安全服务具体包括：标识与认证、授权与访问控制、保密性与完整性、数字签名与抗抵赖、安全审计、入侵检测、响应与恢复、病毒防范、容错与备份等。服务策略是需求策略的具体化，是对具体实体策略的抽象。3信息安全策略的规划与实施需求策略描述了系统要达到的安全要求和提供的安全功能，以及应该阻止或避免什么事件的发生，这是编写和定义安全策略的依据和基础。服务策略指明实现系统安全的需求，系统应提供何种安全服务，具体包括标识与认证、授权与访问控制、保密性与完整性、数字签名与抗抵赖、安全审计、入侵检测、响应与恢复、病毒防范、容错与备份等。服务策略是需求策略的具体化，是对具体实体策略的抽象。实体策略描述的是如何将上两层策略付诸工程实现，该层策略进一步细分为描述层策略和配置命令策略。3信息安全策略的规划与实施一、信息安全策略的制定信息安全策略的制定是一个非常复杂的智力活动。二、信息安全策略的制定（通用）原则

起点进入原则长远安全预期原则最小特权原则适度复杂与经济原则3信息安全策略的规划与实施三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施制订安全策略之前的一个必要步骤，其是确认该策略所应用的范围，例如是在整个组织还是在某个部门。如果没有明确范围就制订策略无异于无的放矢。三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施事实上任何项目的推进都无法离开管理层的支持，安全策略的实施也是如此。先从管理层获得足够的承诺有很多好处，可以为后面的工作铺平道路，还可以了解组织总体上对安全策略的重视程度，而且与管理层的沟通也是将安全工作进一步导向更理想状态的一个契机。三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施安全性分析主要目标：是确定需要进行保护的信息资产，及其对组织的绝对和相对价值，在决定保护措施的时候需要参照这一步骤所获得的信息。三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施安全性分析主要目标：是确定需要进行保护的信息资产，及其对组织的绝对和相对价值，在决定保护措施的时候需要参照这一步骤所获得的信息。安全性分析需要考虑的关键问题：需要保护什么，需要防范哪些威胁，受到攻击的可能性，攻击发生时可能造成的损失，能够采取的防范措施，防范措施的成本和效果评估等。三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施通常来说至少应该与负责技术部门和负责业务部门的人员进行一些会议，在这些会议上应该向这些人员灌输在分析阶段所得出的结论并争取这些人员的认同。如果有其它属于安全策略应用范围内的业务单位，那么也应该让其加入到这项工作。三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施在达成一致并获得了组织内部足够的支持，就可以开始着手建立实际的策略了。这个策略版本会形成最终策略的框架和主要内容，并作为最后的评估和确认工作的基准。三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施该部分工作是在之前的基础上进一步与所有风险承担者一同对安全策略进行确认，从而最终形成修正后的正式的策略版本。在这个阶段会往往会有更多的人员参与进来，应该进一步争取所有相关人员的支持。三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施当安全策略制定完成之后还需要在组织内成功的进行发布，使组织成员仔细阅读并充分理解策略的内容。可以通过组织主要的信息发布渠道对安全策略进行广泛发布，例如组织的内部信息系统、例会、培训活动等等。三、信息安全策略的制定与执行流程

确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略3信息安全策略的规划与实施随着应用环境的变化，信息安全策略也必须随之变化和发展才能继续发挥作用。通常组织应该每季度进行一次策略评估，每年至少应该进行一次策略更新。四、信息安全策略的管理手段

3信息安全策略的规划与实施四、信息安全策略的管理手段

3信息安全策略的规划与实施安全策略管理的文档组织安全策略管理的关键技术四、信息安全策略的手段

3信息安全策略的规划与实施四、信息安全策略的管理手段

3信息安全策略的规划与实施安全策略管理文档有哪些类型？如何组织？四、信息安全策略的管理手段

3信息安全策略的规划与实施安全策略管理文档有哪些类型？3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施四、信息安全策略的管理手段

3信息安全策略的规划与实施安全策略管理文档内容格式如何组织？3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施3信息安全策略的规划与实施五.信息安全策略管理相关技术安全策略统一描述技术安全策略自动翻译技术安全策略一致性验证技术安全策略状态监控技术3信息安全策略的规划与实施五.信息安全策略管理相关技术安全策略统一描述技术实施安全策略管理的前提是实现对安全设备策略的统一描述，将众多的安全设备的策略格式用同一种描述方法进行表示，达到安全设备的策略被统一管理的目的。

目前提出的比较流行的安全策略统一描述语言有Ponder和XACML语言。3信息安全策略的规划与实施五.信息安全策略管理相关技术实体策略转换将描述层策略转换成设备具体的配置命令。通过建立科学的策略转换知识库，设计策略转换编译器，即可实现实体策略的自动翻译。实体策略转换分两阶段进行。安全策略自动翻译转换技术3信息安全策略的规划与实施五.信息安全策略管理相关技术安全策略一致性验证技术屏蔽冲突：当一个排序在后的规则能匹配的所有数据包也能被一个排序在前的规则匹配时，那么这个排序在后的规则将永远无法得到应用，这种策略冲突就称为屏蔽冲突。关联冲突：如果两个动作不同的规则之间存在关联关系，那么其允许集或拒绝集之间就会有重叠；此时这两个规则的顺序就非常重要，如果调换两者的顺序，就会产生完全相反的结果。这种策略冲突称为关联冲突。3信息安全策略的规划与实施五.信息