企业新闻

信息安全管理中策略、标准和实践

2018-02-27 14:29:49 | 来源:中培企业IT培训网

策略、标准和实践

策略被定义为“政府、政党或者商业机构的一套行动计划或步骤,旨在影响和决定决策、行为及其他方面”。换句话说,策略包含一套规则,规定了在机构内可接受和不可接受的行为。策略应当详细规定怎样处罚违规行为,并定义上述规程。策略的一个运用实例就是禁止在工作场所浏览不适宜的网站。为了执行策略,机构必须实施一套标准,以准确定义在工作场所哪些行为是违反规定的,以及机构对该行为的惩罚标准。标准是对策略的行为规则更详细的描述。在实施过程中,机构应当针对各种违规行为制定一套标准,并列出这些行为的详细资料。 然后,应当采用技术控制和相关的过程,防止机构人员访问色情网站。实践、过程和指导方针解释了员工应当怎样遵守策略。图4—2描述了策略、标准和实践三者之间的关系。

为了使策略有效,应该通过员工手册、企业内部网和定期增刊对策略进行大量宣传。机构的所有员工应当认真阅读、理解,并且同意遵守机构的策略;另外, 策略需要经常性地修改和维护,需要变化时.,策略也要改进。

为了制定一个完整的信息安全策略,管理层应当定义3种类型的安全策略。 这3种类型源于(MST的800系列特别报告书,《公认[安全]原则和操作》)《NIST Special Publication 800-14》,它强调为高层管理者制定策略的需求(本章随后将更详细讨论该文献,它被推荐给参与制定策略的专业人员,在http://csrc. nist. gov/ publications/nistpubs/800 -14. pclf.可以找到此文献)。这3种策略类型如下所述:

*企业信息安全项目策略

*基于问题的安全策略

*基于系统的安全策略

在多数机构中都可以看到每一种类型的策略。策略的一般制定步骤是,首先建立最高级策略——企业安全策略;随后,制定基于问题和基于系统的策略,以满

足总的安全策略要求,这3种策略将在随后章节详细描述。

标签: 安全策略

猜你喜欢