第二讲 信息安全政策
转自:谷安论坛
这位信息中心主任所说的防病毒策略就是信息安全政策的一种。安全政策的制定与正确实施对组织的安全有着很是重要的做用,不只能促进全体员工参与到保障组织信息安全的行动中来,并且能有效地下降因为人为因素所形成的对安全的损害。
ISO/IEC 17799:2005包含了133个安全控制措施来帮助组织识别在运作过程当中对信息安全有影响的元素。这133多个控制措施被分红11个方面,成为组织实施信息安全管理的实用指南,在全部这些领域中,信息安全政策是ISO17799中最重要的控制目标。
什么是信息安全政策?
信息安全政策从本质上来讲是描述组织具备哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担什么样的责任,详细描述对员工的安全意识与技能要求,列出被组织禁止的行为。
ISO17799明确提出:管理层应当提出一套清晰的政策来指导信息安全实践,而且经过在组织内发布和维护信息安全政策来代表对信息安全的支持和承诺。
ISO17799标准中的英文“Policy”一词能够有两种解释:一个信息安全方针,另外一个是具体的信息安全策略。
所谓信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应当阐明管理层的承诺,提出组织管理信息安全的方法,并由管理层批准,采用适当的方法将方针传达给每个员工。
具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果而制定的明确具体的管理风险的信息安全实施规则。下表列出一些常见的信息安全策略:
l人员审查策略
l清除桌面和清除屏幕策略
l电子邮件使用策略
l电子办公系统安全策略
l访问控制策略
l网络服务使用策略
l移动计算设施的安全策略
l远程工做策略
l使用密码控制技术策略
安全政策的内容与格式
信息安全政策经过为组织的每个人提供基本的规则、指南、定义,从而在组织中创建一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的明确、内容清楚,能普遍地被组织成员接受与遵照,并且要有足够的灵活性、适应性,能涵盖较大范围内的各类数据、活动和资源。创建了信息安全政策,就设置了组织的信息安全基础,可使员工了解与本身相关的信息安全保护责任,强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。
安全方针属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。信息安全方针应当简明、扼要,便于理解,至少应包括如下内容:
信息安全的定义,整体目标、范围,安全对信息共享的重要性
管理层意图、支持目标和信息安全原则的阐述。
信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性。
信息安全管理的通常和具体责任定义,包括报告安全事故。
信息安全策略的主要功能就是要创建一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行创建相关舆论与规则的基础,安全策略的格式以下表所示:
安全策略
一、目标
创建信息系统安全的整体目标,定义信息安全的管理结构和提出对组织成员的安全要求 。
信息安全策略必须有必定的透明度并获得高层管理层的支持,这种透明度和高层支持必须在安全策略中有明确和积极的反映。
信息安全策略要对全部员工强调“信息安全,人人有责”的原则,使员工了解本身的安全责任与义务。
二、范围
信息安全策略应当有足够的范围广度,包括组织的全部信息资源、设施、硬件、软件、信息、人员。在某些场合下,安全能够定义特殊的资产,好比:组织的主站点、各类重要装置和大型系统。此外,还应包括组织全部信息资源类型的综述,例如,工做站、局域网、单机等。
三、策略内容
根据ISO17799中定义,对信息安全策略的描述应该集中在三个方面:机密性、完整性和可用性,这三种特性是组织创建信息安全策略的出发点。机密性是指信息只能由受权用户访问,其余非受权用户、或非受权方式不能访问。完整性就是保证信息必须是完好无损的,信息不能被丢失、损坏,只能在受权方式下修改。可用性是指受权用户在任什么时候候均可以访问其须要的信息,信息系统在各类意外事故、有意破坏的安全事件中能保持正常运行。
根据给定的环境,应当给员工明确描述与这些特性相关的信息安全要求,组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标,
例如,组织在维护大型但机密性要求并不高的数据库时,其安全目标主要是减小错误、数据丢失或数据破坏;若是组织对数据的机密性要求高时,安全目标的重点就会转移到防止数据的非受权泄露。
四、角色责任
信息安全策略除了要创建安全程序及程序管理职责外,还须要在组织中定义各类角色并分配责任,明确要求,好比:部分业务管理人员、应用系统全部者、数据用户、计算机系统安全小组等。
在某些状况下,信息安全策略中要理顺组织中的各类个体与团体的关系,以免在履行各自的责任与义务时发生冲突。例如,要明确规定谁应该负责批准新系统所使用的安全措施,是相关业务部门的负责人,仍是内部专职信息系统人员。若是可能的话,还应该由安全程序的负责人签署受权书。
五、执行纪律
没有一个正式的、文件化的安全策略,管理层不可能制定出惩戒执行标准与机制,信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。对于严重安全事件,例如:盗窃、内部破坏、密谋犯罪等行为全,要执行开除、起诉等惩戒措施;对于通常安全事件,例如:使用盗版软件,要执行相应的处罚条款。
还要考虑到有时员工违反安全策略并不是是有意的,好比,因为缺少必要的知识或训练,员工可能会有违规行为;有时也多是对安全策略缺少必要的了解形成的。对于这种状况,信息安全策略要预先采起措施,在合理的期限内,进行相关安全策略介绍和安全意识教育培训。
六、专业术语
对于信息安全策略中涉及的专业术语做必要的描述,使组织成员对策略的了解不会产生歧义。
七、版本历史
对策略版本在各个阶段的修订状况做出说明
信息安全政策经过为组织的每个人提供基本的规则、指南、定义,从而在组织中创建一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的明确、内容清楚,能普遍地被组织成员接受与遵照,并且要有足够的灵活性、适应性,能涵盖较大范围内的各类数据、活动和资源。创建了信息安全政策,就设置了组织的信息安全基础,可使员工了解与本身相关的信息安全保护责任,强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。
安全方针属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。信息安全方针应当简明、扼要,便于理解,至少应包括如下内容:
信息安全的定义,整体目标、范围,安全对信息共享的重要性
管理层意图、支持目标和信息安全原则的阐述。
信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性。
信息安全管理的通常和具体责任定义,包括报告安全事故。
信息安全策略的主要功能就是要创建一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行创建相关舆论与规则的基础,安全策略的格式以下表所示:
安全策略
一、目标
创建信息系统安全的整体目标,定义信息安全的管理结构和提出对组织成员的安全要求 。
信息安全策略必须有必定的透明度并获得高层管理层的支持,这种透明度和高层支持必须在安全策略中有明确和积极的反映。
信息安全策略要对全部员工强调“信息安全,人人有责”的原则,使员工了解本身的安全责任与义务。
二、范围
信息安全策略应当有足够的范围广度,包括组织的全部信息资源、设施、硬件、软件、信息、人员。在某些场合下,安全能够定义特殊的资产,好比:组织的主站点、各类重要装置和大型系统。此外,还应包括组织全部信息资源类型的综述,例如,工做站、局域网、单机等。
三、策略内容
根据ISO17799中定义,对信息安全策略的描述应该集中在三个方面:机密性、完整性和可用性,这三种特性是组织创建信息安全策略的出发点。机密性是指信息只能由受权用户访问,其余非受权用户、或非受权方式不能访问。完整性就是保证信息必须是完好无损的,信息不能被丢失、损坏,只能在受权方式下修改。可用性是指受权用户在任什么时候候均可以访问其须要的信息,信息系统在各类意外事故、有意破坏的安全事件中能保持正常运行。
根据给定的环境,应当给员工明确描述与这些特性相关的信息安全要求,组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标,
例如,组织在维护大型但机密性要求并不高的数据库时,其安全目标主要是减小错误、数据丢失或数据破坏;若是组织对数据的机密性要求高时,安全目标的重点就会转移到防止数据的非受权泄露。
四、角色责任
信息安全策略除了要创建安全程序及程序管理职责外,还须要在组织中定义各类角色并分配责任,明确要求,好比:部分业务管理人员、应用系统全部者、数据用户、计算机系统安全小组等。
在某些状况下,信息安全策略中要理顺组织中的各类个体与团体的关系,以免在履行各自的责任与义务时发生冲突。例如,要明确规定谁应该负责批准新系统所使用的安全措施,是相关业务部门的负责人,仍是内部专职信息系统人员。若是可能的话,还应该由安全程序的负责人签署受权书。
五、执行纪律
没有一个正式的、文件化的安全策略,管理层不可能制定出惩戒执行标准与机制,信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。对于严重安全事件,例如:盗窃、内部破坏、密谋犯罪等行为全,要执行开除、起诉等惩戒措施;对于通常安全事件,例如:使用盗版软件,要执行相应的处罚条款。
还要考虑到有时员工违反安全策略并不是是有意的,好比,因为缺少必要的知识或训练,员工可能会有违规行为;有时也多是对安全策略缺少必要的了解形成的。对于这种状况,信息安全策略要预先采起措施,在合理的期限内,进行相关安全策略介绍和安全意识教育培训。
六、专业术语
对于信息安全策略中涉及的专业术语做必要的描述,使组织成员对策略的了解不会产生歧义。
七、版本历史
对策略版本在各个阶段的修订状况做出说明
信息安全政策的制定过程
(1) 理解组织业务特征和企业文化
充分了解组织业务特征是设计信息安全政策的前提,只有了解组织业务特征,才能发现并分析组织业务所处的风险环境,并在此基础上提出合理的、与组织业务目标相一致的安全保障措施,定义出技术与管理相结合的控制方法,从而制定有效的信息安全政策和程序。
(2) 获得管理层的明确支持与承诺
要制定一个好的信息安全政策,必须与决策层进行有效沟通,并获得组织高层领导的支持与承诺,这有三个做用,一是制定的信息安全政策与组织的业务目标一致;二是制定的安全方针政策、控制措施能够在组织的上上下下获得有效的贯彻;三是能够获得有效的资源保证,好比在制定安全政策时必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推进。
(3) 组建一个安全政策制定小组
安全政策制定小组应当由如下人员组成:
高级管理人员
信息安全管理人员
负责安全政策执行的管理人员
熟悉法律事务的人员
用户部门的人员
小组成员人数的多少视政策的规模与范围的大小而定,一般制定一个小规模的安全政策只需1-2人,要制定较大规模的安全政策可能须要5-10人。要具体指定政策的起草人、检查审阅人、测试用户,要肯定政策由什么管理人员批准发布,由什么人员负责实施。
(4) 肯定信息安全总体目标
描述信息安全宏观需求和要达到的目标。一个典型的目标是:经过防止和最小化安全事故的影响,保证业务持续性,并最小化业务损失,为企业的实现业务目标提供保障。
(5) 肯定信息管理体系的范围
肯定信息管理体系的范围后,组织须要根据本身的实际状况,能够在整个组织范围内、或者在个别部门或领域制定信息安全方针,由于范围不同,方针的制定可能不同。
(6) 风险评估与选择安全控制
组织信息安全管理现状调查与风险评估工做是创建具体的信息安全策略的基础与关键,在安全体系创建的整个过程当中,风险评估工做占了很大的比例,风险评估的工做质量直接影响安全控制的合理选择和安全策略的完备制定。
(7) 起草拟订安全政策
根据前面风险评估与选择安全控制的结果,起草拟订安全政策,安全政策要尽量地涵盖全部的风险和控制,没有涉及的内容要说明缘由。
(8) 评估安全政策
安全政策被制订出来后,要进行充分的专家评估和用户测试,以评审安全政策的完备性、易用性,肯定安全政策可否达到组织所需的安全目标。
(9) 安全政策的实施
安全政策经过测试评估后,须要由管理层正式批准实施。能够把安全方针与具体安全政策编制成组织信息安全政策手册,而后发布到组织中的每一个员工与相关利益方,明确安全责任与义务。
(10) 政策的持续改进
安全政策制定实施后,并不能“高枕无忧”,组织要按期评审安全政策,并进行持续改进,由于组织所处的内外环境是不断变化的,组织的信息资产所面临的风险也是一个变数,组织中的人的思想、观念也在不断的变化,在这个不断变化的世界中,组织要想把风险控制在一个能够接受的范围内,要对控制措施及信息安全政策持续的改进,使之在理论上、标准上及方法上与时俱进。
(1) 理解组织业务特征和企业文化
充分了解组织业务特征是设计信息安全政策的前提,只有了解组织业务特征,才能发现并分析组织业务所处的风险环境,并在此基础上提出合理的、与组织业务目标相一致的安全保障措施,定义出技术与管理相结合的控制方法,从而制定有效的信息安全政策和程序。
(2) 获得管理层的明确支持与承诺
要制定一个好的信息安全政策,必须与决策层进行有效沟通,并获得组织高层领导的支持与承诺,这有三个做用,一是制定的信息安全政策与组织的业务目标一致;二是制定的安全方针政策、控制措施能够在组织的上上下下获得有效的贯彻;三是能够获得有效的资源保证,好比在制定安全政策时必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推进。
(3) 组建一个安全政策制定小组
安全政策制定小组应当由如下人员组成:
高级管理人员
信息安全管理人员
负责安全政策执行的管理人员
熟悉法律事务的人员
用户部门的人员
小组成员人数的多少视政策的规模与范围的大小而定,一般制定一个小规模的安全政策只需1-2人,要制定较大规模的安全政策可能须要5-10人。要具体指定政策的起草人、检查审阅人、测试用户,要肯定政策由什么管理人员批准发布,由什么人员负责实施。
(4) 肯定信息安全总体目标
描述信息安全宏观需求和要达到的目标。一个典型的目标是:经过防止和最小化安全事故的影响,保证业务持续性,并最小化业务损失,为企业的实现业务目标提供保障。
(5) 肯定信息管理体系的范围
肯定信息管理体系的范围后,组织须要根据本身的实际状况,能够在整个组织范围内、或者在个别部门或领域制定信息安全方针,由于范围不同,方针的制定可能不同。
(6) 风险评估与选择安全控制
组织信息安全管理现状调查与风险评估工做是创建具体的信息安全策略的基础与关键,在安全体系创建的整个过程当中,风险评估工做占了很大的比例,风险评估的工做质量直接影响安全控制的合理选择和安全策略的完备制定。
(7) 起草拟订安全政策
根据前面风险评估与选择安全控制的结果,起草拟订安全政策,安全政策要尽量地涵盖全部的风险和控制,没有涉及的内容要说明缘由。
(8) 评估安全政策
安全政策被制订出来后,要进行充分的专家评估和用户测试,以评审安全政策的完备性、易用性,肯定安全政策可否达到组织所需的安全目标。
(9) 安全政策的实施
安全政策经过测试评估后,须要由管理层正式批准实施。能够把安全方针与具体安全政策编制成组织信息安全政策手册,而后发布到组织中的每一个员工与相关利益方,明确安全责任与义务。
(10) 政策的持续改进
安全政策制定实施后,并不能“高枕无忧”,组织要按期评审安全政策,并进行持续改进,由于组织所处的内外环境是不断变化的,组织的信息资产所面临的风险也是一个变数,组织中的人的思想、观念也在不断的变化,在这个不断变化的世界中,组织要想把风险控制在一个能够接受的范围内,要对控制措施及信息安全政策持续的改进,使之在理论上、标准上及方法上与时俱进。
案例:信息安全方针示例文件名称:XXXX科技股份有限公司信息安全方针 编号:TFISM001 版次:1.0机密等级:通常 □密 □机密 页次: 3 OF XXX目 标:为保护本公司的相关信息资产,包括软硬件设施、数据、信息的安全,免于因外在的威胁或内部人员不当的管理遭受泄密、破坏或遗失等风险,特制订本政策,以供全体员工共同遵循。宣传口号:“信息安全是赢得客户的基础,无破坏零损失是咱们的终极目标”“信息安全,人人有责”信息安全要求: 信息安全管理委员会是公司信息安全管理的最高机构 信息资产应受适当的保护,以防止未经受权的不当存取; 应适当保护信息的机密性; 确保信息不会在传递的过程当中,或因无心间的行为透露给未经受权的第三者; 应适当确保信息的完整性,以防止未经受权的窜改; 应适当确保信息的可用性,以确保使用者需求能够获得知足; 相关的信息安全措施或规范应符合现行法令的要求; 尽量维护、测试企业的灾难恢复与业务持续性计划的可行性; 应依其职务、责任对全体员工进行信息安全适当的教育与培训; 全部信息安全意外事故或可疑的安全弱点,都应依循适当回报系统向上反应,予以适当调查、处理。适用范围:本信息安全管理方针适用于公司全体员工、业务合做伙伴、外聘人员及厂商委派支持本公司的工做人员等全部与信息资产相关的部门与人员。责任划分:本公司高层主管应适时复核、修订此方针,以确保该信息安全方针符合现行需求。信息安全管理人员应透过适当程序落实此方针的要求。全体员工、外聘人员及相关外部人员都有责任遵循此安全方针。全体员工都有责任经过适当反馈系统,报告所发现的信息安全意外事故或信息安全弱点。任何危及信息安全的行为,都应诉诸适当的惩罚程序或法律行动。复核:此方针应由高层主管根据企业内外环境的变化,适当的予以修订、公告,以符合形势所需。实施时间:此方针自签发之日起,正式实施。XXXX科技股份有限公司总经理: 沈XX200X年X月X日
相关文章
- 1. 信息安全第一讲
- 2. 信息安全政策(等级保护、分级保护)
- 3. 信息安全第三讲作业
- 4. 【信息论】——第二讲
- 5. 信息安全第四讲-信息隐藏技术作业
- 6. 信息安全第十讲--内容安全技术作业
- 7. 信息安全策略创建步骤
- 8. 第二十二讲、第二十三讲 DES的安全性 & 3DES
- 9. 2020春招:广东邮政信息技术局 信息安全岗
- 10. 信息安全
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • 浏览器信息 - 浏览器信息
- • Composer 安装与使用
- • Tomcat学习笔记(史上最全tomcat学习笔记)
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 信息安全第一讲
- 2. 信息安全政策(等级保护、分级保护)
- 3. 信息安全第三讲作业
- 4. 【信息论】——第二讲
- 5. 信息安全第四讲-信息隐藏技术作业
- 6. 信息安全第十讲--内容安全技术作业
- 7. 信息安全策略创建步骤
- 8. 第二十二讲、第二十三讲 DES的安全性 & 3DES
- 9. 2020春招:广东邮政信息技术局 信息安全岗
- 10. 信息安全