第二講 信息安全政策
轉自:谷安論壇
這位信息中心主任所說的防病毒策略就是信息安全政策的一種。安全政策的制定與正確實施對組織的安全有着很是重要的做用,不只能促進全體員工參與到保障組織信息安全的行動中來,並且能有效地下降因爲人爲因素所形成的對安全的損害。
ISO/IEC 17799:2005包含了133個安全控制措施來幫助組織識別在運作過程當中對信息安全有影響的元素。這133多個控制措施被分紅11個方面,成爲組織實施信息安全管理的實用指南,在全部這些領域中,信息安全政策是ISO17799中最重要的控制目標。
什麼是信息安全政策?
信息安全政策從本質上來講是描述組織具備哪些重要信息資產,並說明這些信息資產如何被保護的一個計劃,其目的就是對組織中成員闡明如何使用組織中的信息系統資源,如何處理敏感信息,如何採用安全技術產品,用戶在使用信息時應當承擔什麼樣的責任,詳細描述對員工的安全意識與技能要求,列出被組織禁止的行爲。
ISO17799明確提出:管理層應當提出一套清晰的政策來指導信息安全實踐,而且經過在組織內發佈和維護信息安全政策來代表對信息安全的支持和承諾。
ISO17799標準中的英文「Policy」一詞能夠有兩種解釋:一個信息安全方針,另外一個是具體的信息安全策略。
所謂信息安全方針就是組織的信息安全委員會或管理當局制定的一個高層文件,用於指導組織如何對資產,包括敏感性信息進行管理、保護和分配的規則和指示。信息安全方針應當闡明管理層的承諾,提出組織管理信息安全的方法,並由管理層批准,採用適當的方法將方針傳達給每個員工。
具體的信息安全策略是在信息安全方針的框架內,根據風險評估的結果而制定的明確具體的管理風險的信息安全實施規則。下表列出一些常見的信息安全策略:
l人員審查策略
l清除桌面和清除屏幕策略
l電子郵件使用策略
l電子辦公系統安全策略
l訪問控制策略
l網絡服務使用策略
l移動計算設施的安全策略
l遠程工做策略
l使用密碼控制技術策略
安全政策的內容與格式
信息安全政策經過爲組織的每個人提供基本的規則、指南、定義,從而在組織中創建一套信息資源保護標準,防止員工的不安全行爲引入風險。信息安全政策是進一步制定控制規則、安全程序的必要基礎。安全政策應當目的明確、內容清楚,能普遍地被組織成員接受與遵照,並且要有足夠的靈活性、適應性,能涵蓋較大範圍內的各類數據、活動和資源。創建了信息安全政策,就設置了組織的信息安全基礎,可使員工瞭解與本身相關的信息安全保護責任,強調信息系統安全對組織業務目標的實現、業務活動持續運營的重要性。
安全方針屬於高層管理文件,簡要陳述信息安全宏觀需求及管理承諾,應該篇幅短小,內容明確。信息安全方針應當簡明、扼要,便於理解,至少應包括如下內容:
信息安全的定義,整體目標、範圍,安全對信息共享的重要性
管理層意圖、支持目標和信息安全原則的闡述。
信息安全控制的簡要說明,以及依從法律、法規要求對組織的重要性。
信息安全管理的通常和具體責任定義,包括報告安全事故。
信息安全策略的主要功能就是要創建一套安全需求、控制措施及執行程序,定義安全角色賦予管理職責,陳述組織的安全目標,爲安全措施在組織的強制執行創建相關輿論與規則的基礎,安全策略的格式以下表所示:
安全策略
一、目標
創建信息系統安全的整體目標,定義信息安全的管理結構和提出對組織成員的安全要求 。
信息安全策略必須有必定的透明度並獲得高層管理層的支持,這種透明度和高層支持必須在安全策略中有明確和積極的反映。
信息安全策略要對全部員工強調「信息安全,人人有責」的原則,使員工瞭解本身的安全責任與義務。
二、範圍
信息安全策略應當有足夠的範圍廣度,包括組織的全部信息資源、設施、硬件、軟件、信息、人員。在某些場合下,安全能夠定義特殊的資產,好比:組織的主站點、各類重要裝置和大型系統。此外,還應包括組織全部信息資源類型的綜述,例如,工做站、局域網、單機等。
三、策略內容
根據ISO17799中定義,對信息安全策略的描述應該集中在三個方面:機密性、完整性和可用性,這三種特性是組織創建信息安全策略的出發點。機密性是指信息只能由受權用戶訪問,其餘非受權用戶、或非受權方式不能訪問。完整性就是保證信息必須是完好無損的,信息不能被丟失、損壞,只能在受權方式下修改。可用性是指受權用戶在任什麼時候候均可以訪問其須要的信息,信息系統在各類意外事故、有意破壞的安全事件中能保持正常運行。
根據給定的環境,應當給員工明確描述與這些特性相關的信息安全要求,組織的信息安全策略應當以員工熟悉的活動、信息、術語等方式來反映特定環境下的安全目標,
例如,組織在維護大型但機密性要求並不高的數據庫時,其安全目標主要是減小錯誤、數據丟失或數據破壞;若是組織對數據的機密性要求高時,安全目標的重點就會轉移到防止數據的非受權泄露。
四、角色責任
信息安全策略除了要創建安全程序及程序管理職責外,還須要在組織中定義各類角色並分配責任,明確要求,好比:部分業務管理人員、應用系統全部者、數據用戶、計算機系統安全小組等。
在某些狀況下,信息安全策略中要理順組織中的各類個體與團體的關係,以免在履行各自的責任與義務時發生衝突。例如,要明確規定誰應該負責批准新系統所使用的安全措施,是相關業務部門的負責人,仍是內部專職信息系統人員。若是可能的話,還應該由安全程序的負責人簽署受權書。
五、執行紀律
沒有一個正式的、文件化的安全策略,管理層不可能制定出懲戒執行標準與機制,信息安全策略是組織制定和執行紀律措施的基礎。信息安全策略中應當描述與安全策略損害行爲的類型與程度相對應的懲戒辦法。對於嚴重安全事件,例如:盜竊、內部破壞、密謀犯罪等行爲全,要執行開除、起訴等懲戒措施;對於通常安全事件,例如:使用盜版軟件,要執行相應的處罰條款。
還要考慮到有時員工違反安全策略並不是是有意的,好比,因爲缺少必要的知識或訓練,員工可能會有違規行爲;有時也多是對安全策略缺少必要的瞭解形成的。對於這種狀況,信息安全策略要預先採起措施,在合理的期限內,進行相關安全策略介紹和安全意識教育培訓。
六、專業術語
對於信息安全策略中涉及的專業術語做必要的描述,使組織成員對策略的瞭解不會產生歧義。
七、版本歷史
對策略版本在各個階段的修訂狀況做出說明
信息安全政策經過爲組織的每個人提供基本的規則、指南、定義,從而在組織中創建一套信息資源保護標準,防止員工的不安全行爲引入風險。信息安全政策是進一步制定控制規則、安全程序的必要基礎。安全政策應當目的明確、內容清楚,能普遍地被組織成員接受與遵照,並且要有足夠的靈活性、適應性,能涵蓋較大範圍內的各類數據、活動和資源。創建了信息安全政策,就設置了組織的信息安全基礎,可使員工瞭解與本身相關的信息安全保護責任,強調信息系統安全對組織業務目標的實現、業務活動持續運營的重要性。
安全方針屬於高層管理文件,簡要陳述信息安全宏觀需求及管理承諾,應該篇幅短小,內容明確。信息安全方針應當簡明、扼要,便於理解,至少應包括如下內容:
信息安全的定義,整體目標、範圍,安全對信息共享的重要性
管理層意圖、支持目標和信息安全原則的闡述。
信息安全控制的簡要說明,以及依從法律、法規要求對組織的重要性。
信息安全管理的通常和具體責任定義,包括報告安全事故。
信息安全策略的主要功能就是要創建一套安全需求、控制措施及執行程序,定義安全角色賦予管理職責,陳述組織的安全目標,爲安全措施在組織的強制執行創建相關輿論與規則的基礎,安全策略的格式以下表所示:
安全策略
一、目標
創建信息系統安全的整體目標,定義信息安全的管理結構和提出對組織成員的安全要求 。
信息安全策略必須有必定的透明度並獲得高層管理層的支持,這種透明度和高層支持必須在安全策略中有明確和積極的反映。
信息安全策略要對全部員工強調「信息安全,人人有責」的原則,使員工瞭解本身的安全責任與義務。
二、範圍
信息安全策略應當有足夠的範圍廣度,包括組織的全部信息資源、設施、硬件、軟件、信息、人員。在某些場合下,安全能夠定義特殊的資產,好比:組織的主站點、各類重要裝置和大型系統。此外,還應包括組織全部信息資源類型的綜述,例如,工做站、局域網、單機等。
三、策略內容
根據ISO17799中定義,對信息安全策略的描述應該集中在三個方面:機密性、完整性和可用性,這三種特性是組織創建信息安全策略的出發點。機密性是指信息只能由受權用戶訪問,其餘非受權用戶、或非受權方式不能訪問。完整性就是保證信息必須是完好無損的,信息不能被丟失、損壞,只能在受權方式下修改。可用性是指受權用戶在任什麼時候候均可以訪問其須要的信息,信息系統在各類意外事故、有意破壞的安全事件中能保持正常運行。
根據給定的環境,應當給員工明確描述與這些特性相關的信息安全要求,組織的信息安全策略應當以員工熟悉的活動、信息、術語等方式來反映特定環境下的安全目標,
例如,組織在維護大型但機密性要求並不高的數據庫時,其安全目標主要是減小錯誤、數據丟失或數據破壞;若是組織對數據的機密性要求高時,安全目標的重點就會轉移到防止數據的非受權泄露。
四、角色責任
信息安全策略除了要創建安全程序及程序管理職責外,還須要在組織中定義各類角色並分配責任,明確要求,好比:部分業務管理人員、應用系統全部者、數據用戶、計算機系統安全小組等。
在某些狀況下,信息安全策略中要理順組織中的各類個體與團體的關係,以免在履行各自的責任與義務時發生衝突。例如,要明確規定誰應該負責批准新系統所使用的安全措施,是相關業務部門的負責人,仍是內部專職信息系統人員。若是可能的話,還應該由安全程序的負責人簽署受權書。
五、執行紀律
沒有一個正式的、文件化的安全策略,管理層不可能制定出懲戒執行標準與機制,信息安全策略是組織制定和執行紀律措施的基礎。信息安全策略中應當描述與安全策略損害行爲的類型與程度相對應的懲戒辦法。對於嚴重安全事件,例如:盜竊、內部破壞、密謀犯罪等行爲全,要執行開除、起訴等懲戒措施;對於通常安全事件,例如:使用盜版軟件,要執行相應的處罰條款。
還要考慮到有時員工違反安全策略並不是是有意的,好比,因爲缺少必要的知識或訓練,員工可能會有違規行爲;有時也多是對安全策略缺少必要的瞭解形成的。對於這種狀況,信息安全策略要預先採起措施,在合理的期限內,進行相關安全策略介紹和安全意識教育培訓。
六、專業術語
對於信息安全策略中涉及的專業術語做必要的描述,使組織成員對策略的瞭解不會產生歧義。
七、版本歷史
對策略版本在各個階段的修訂狀況做出說明
信息安全政策的制定過程
(1) 理解組織業務特徵和企業文化
充分了解組織業務特徵是設計信息安全政策的前提,只有瞭解組織業務特徵,才能發現並分析組織業務所處的風險環境,並在此基礎上提出合理的、與組織業務目標相一致的安全保障措施,定義出技術與管理相結合的控制方法,從而制定有效的信息安全政策和程序。
(2) 獲得管理層的明確支持與承諾
要制定一個好的信息安全政策,必須與決策層進行有效溝通,並獲得組織高層領導的支持與承諾,這有三個做用,一是制定的信息安全政策與組織的業務目標一致;二是制定的安全方針政策、控制措施能夠在組織的上上下下獲得有效的貫徹;三是能夠獲得有效的資源保證,好比在制定安全政策時必要的資金與人力資源的支持,及跨部門之間的協調問題都必須由高層管理人員來推進。
(3) 組建一個安全政策制定小組
安全政策制定小組應當由如下人員組成:
高級管理人員
信息安全管理人員
負責安全政策執行的管理人員
熟悉法律事務的人員
用戶部門的人員
小組成員人數的多少視政策的規模與範圍的大小而定,一般制定一個小規模的安全政策只需1-2人,要制定較大規模的安全政策可能須要5-10人。要具體指定政策的起草人、檢查審閱人、測試用戶,要肯定政策由什麼管理人員批准發佈,由什麼人員負責實施。
(4) 肯定信息安全總體目標
描述信息安全宏觀需求和要達到的目標。一個典型的目標是:經過防止和最小化安全事故的影響,保證業務持續性,並最小化業務損失,爲企業的實現業務目標提供保障。
(5) 肯定信息管理體系的範圍
肯定信息管理體系的範圍後,組織須要根據本身的實際狀況,能夠在整個組織範圍內、或者在個別部門或領域制定信息安全方針,由於範圍不同,方針的制定可能不同。
(6) 風險評估與選擇安全控制
組織信息安全管理現狀調查與風險評估工做是創建具體的信息安全策略的基礎與關鍵,在安全體系創建的整個過程當中,風險評估工做佔了很大的比例,風險評估的工做質量直接影響安全控制的合理選擇和安全策略的完備制定。
(7) 起草擬訂安全政策
根據前面風險評估與選擇安全控制的結果,起草擬訂安全政策,安全政策要儘量地涵蓋全部的風險和控制,沒有涉及的內容要說明緣由。
(8) 評估安全政策
安全政策被制訂出來後,要進行充分的專家評估和用戶測試,以評審安全政策的完備性、易用性,肯定安全政策可否達到組織所需的安全目標。
(9) 安全政策的實施
安全政策經過測試評估後,須要由管理層正式批准實施。能夠把安全方針與具體安全政策編製成組織信息安全政策手冊,而後發佈到組織中的每一個員工與相關利益方,明確安全責任與義務。
(10) 政策的持續改進
安全政策制定實施後,並不能「高枕無憂」,組織要按期評審安全政策,並進行持續改進,由於組織所處的內外環境是不斷變化的,組織的信息資產所面臨的風險也是一個變數,組織中的人的思想、觀念也在不斷的變化,在這個不斷變化的世界中,組織要想把風險控制在一個能夠接受的範圍內,要對控制措施及信息安全政策持續的改進,使之在理論上、標準上及方法上與時俱進。
(1) 理解組織業務特徵和企業文化
充分了解組織業務特徵是設計信息安全政策的前提,只有瞭解組織業務特徵,才能發現並分析組織業務所處的風險環境,並在此基礎上提出合理的、與組織業務目標相一致的安全保障措施,定義出技術與管理相結合的控制方法,從而制定有效的信息安全政策和程序。
(2) 獲得管理層的明確支持與承諾
要制定一個好的信息安全政策,必須與決策層進行有效溝通,並獲得組織高層領導的支持與承諾,這有三個做用,一是制定的信息安全政策與組織的業務目標一致;二是制定的安全方針政策、控制措施能夠在組織的上上下下獲得有效的貫徹;三是能夠獲得有效的資源保證,好比在制定安全政策時必要的資金與人力資源的支持,及跨部門之間的協調問題都必須由高層管理人員來推進。
(3) 組建一個安全政策制定小組
安全政策制定小組應當由如下人員組成:
高級管理人員
信息安全管理人員
負責安全政策執行的管理人員
熟悉法律事務的人員
用戶部門的人員
小組成員人數的多少視政策的規模與範圍的大小而定,一般制定一個小規模的安全政策只需1-2人,要制定較大規模的安全政策可能須要5-10人。要具體指定政策的起草人、檢查審閱人、測試用戶,要肯定政策由什麼管理人員批准發佈,由什麼人員負責實施。
(4) 肯定信息安全總體目標
描述信息安全宏觀需求和要達到的目標。一個典型的目標是:經過防止和最小化安全事故的影響,保證業務持續性,並最小化業務損失,爲企業的實現業務目標提供保障。
(5) 肯定信息管理體系的範圍
肯定信息管理體系的範圍後,組織須要根據本身的實際狀況,能夠在整個組織範圍內、或者在個別部門或領域制定信息安全方針,由於範圍不同,方針的制定可能不同。
(6) 風險評估與選擇安全控制
組織信息安全管理現狀調查與風險評估工做是創建具體的信息安全策略的基礎與關鍵,在安全體系創建的整個過程當中,風險評估工做佔了很大的比例,風險評估的工做質量直接影響安全控制的合理選擇和安全策略的完備制定。
(7) 起草擬訂安全政策
根據前面風險評估與選擇安全控制的結果,起草擬訂安全政策,安全政策要儘量地涵蓋全部的風險和控制,沒有涉及的內容要說明緣由。
(8) 評估安全政策
安全政策被制訂出來後,要進行充分的專家評估和用戶測試,以評審安全政策的完備性、易用性,肯定安全政策可否達到組織所需的安全目標。
(9) 安全政策的實施
安全政策經過測試評估後,須要由管理層正式批准實施。能夠把安全方針與具體安全政策編製成組織信息安全政策手冊,而後發佈到組織中的每一個員工與相關利益方,明確安全責任與義務。
(10) 政策的持續改進
安全政策制定實施後,並不能「高枕無憂」,組織要按期評審安全政策,並進行持續改進,由於組織所處的內外環境是不斷變化的,組織的信息資產所面臨的風險也是一個變數,組織中的人的思想、觀念也在不斷的變化,在這個不斷變化的世界中,組織要想把風險控制在一個能夠接受的範圍內,要對控制措施及信息安全政策持續的改進,使之在理論上、標準上及方法上與時俱進。
案例:信息安全方針示例文件名稱:XXXX科技股份有限公司信息安全方針 編號:TFISM001 版次:1.0機密等級:通常 □密 □機密 頁次: 3 OF XXX目 標:爲保護本公司的相關信息資產,包括軟硬件設施、數據、信息的安全,免於因外在的威脅或內部人員不當的管理遭受泄密、破壞或遺失等風險,特制訂本政策,以供全體員工共同遵循。宣傳口號:「信息安全是贏得客戶的基礎,無破壞零損失是咱們的終極目標」「信息安全,人人有責」信息安全要求: 信息安全管理委員會是公司信息安全管理的最高機構 信息資產應受適當的保護,以防止未經受權的不當存取; 應適當保護信息的機密性; 確保信息不會在傳遞的過程當中,或因無心間的行爲透露給未經受權的第三者; 應適當確保信息的完整性,以防止未經受權的竄改; 應適當確保信息的可用性,以確保使用者需求能夠獲得知足; 相關的信息安全措施或規範應符合現行法令的要求; 儘量維護、測試企業的災難恢復與業務持續性計劃的可行性; 應依其職務、責任對全體員工進行信息安全適當的教育與培訓; 全部信息安全意外事故或可疑的安全弱點,都應依循適當回報系統向上反應,予以適當調查、處理。適用範圍:本信息安全管理方針適用於公司全體員工、業務合做夥伴、外聘人員及廠商委派支持本公司的工做人員等全部與信息資產相關的部門與人員。責任劃分:本公司高層主管應適時複覈、修訂此方針,以確保該信息安全方針符合現行需求。信息安全管理人員應透過適當程序落實此方針的要求。全體員工、外聘人員及相關外部人員都有責任遵循此安全方針。全體員工都有責任經過適當反饋系統,報告所發現的信息安全意外事故或信息安全弱點。任何危及信息安全的行爲,都應訴諸適當的懲罰程序或法律行動。複覈:此方針應由高層主管根據企業內外環境的變化,適當的予以修訂、公告,以符合形勢所需。實施時間:此方針自簽發之日起,正式實施。XXXX科技股份有限公司總經理: 沈XX200X年X月X日
相關文章
- 1. 信息安全第一講
- 2. 信息安全政策(等級保護、分級保護)
- 3. 信息安全第三講作業
- 4. 【信息論】——第二講
- 5. 信息安全第四講-信息隱藏技術作業
- 6. 信息安全第十講--內容安全技術作業
- 7. 信息安全策略創建步驟
- 8. 第二十二講、第二十三講 DES的安全性 & 3DES
- 9. 2020春招:廣東郵政信息技術局 信息安全崗
- 10. 信息安全
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • 瀏覽器信息 - 瀏覽器信息
- • Composer 安裝與使用
- • Tomcat學習筆記(史上最全tomcat學習筆記)
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 信息安全第一講
- 2. 信息安全政策(等級保護、分級保護)
- 3. 信息安全第三講作業
- 4. 【信息論】——第二講
- 5. 信息安全第四講-信息隱藏技術作業
- 6. 信息安全第十講--內容安全技術作業
- 7. 信息安全策略創建步驟
- 8. 第二十二講、第二十三講 DES的安全性 & 3DES
- 9. 2020春招:廣東郵政信息技術局 信息安全崗
- 10. 信息安全