1、p如何正确地维护用户身份与口令,以及其他如何正确地维护用户身份与口令,以及其他账号信息?账号信息?p如何对潜在的安全事件和入侵企图进行响应如何对潜在的安全事件和入侵企图进行响应?p如何以安全的方式实现内部网及互联网的连如何以安全的方式实现内部网及互联网的连接接?p怎样正确使用电子邮件系统?怎样正确使用电子邮件系统?5.2 信息安全策略的层次信息安全策略的层次 n信息安全策略的层次信息安全策略的层次 p信息安全方针信息安全方针p具体的信息安全策略具体的信息安全策略5.2.1 信息安全方针信息安全方针n信息安全方针的概念信息安全方针的概念信息安全方针就是组织的信息安全委员会或管理机构制信息安全方针
2、就是组织的信息安全委员会或管理机构制定的一个高层文件,是用于指导组织如何对资产,包括敏定的一个高层文件,是用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。感性信息进行管理、保护和分配的规则和指示。n信息安全方针应包含的内容信息安全方针应包含的内容p信息安全的定义,总体目标和范围,安全对信息共享的信息安全的定义,总体目标和范围,安全对信息共享的重要性;重要性;p管理层意图、支持目标和信息安全原则的阐述;管理层意图、支持目标和信息安全原则的阐述;p信息安全控制的简要说明,以及依从法律法规要求对组信息安全控制的简要说明,以及依从法律法规要求对组织的重要性;织的重要性;p信息安
3、全管理的一般和具体责任定义,包括报告安全事信息安全管理的一般和具体责任定义,包括报告安全事故等。故等。5.2.2 具体的信息安全策略具体的信息安全策略策略包含一套规则,规定了在机构内可接受和不可接受策略包含一套规则,规定了在机构内可接受和不可接受的行为。的行为。为了执行策略,机构必须实施一套标准,以准确定义在为了执行策略,机构必须实施一套标准,以准确定义在工作场所哪些行为是违反规定的,以及机构对该行为的惩工作场所哪些行为是违反规定的,以及机构对该行为的惩罚标准。罚标准。标准是对策略的行为规则更详细的描述标准是对策略的行为规则更详细的描述。在实施过程中,机构应当针对各种违规行为制定一套标在实施过
4、程中,机构应当针对各种违规行为制定一套标准,并列出这些行为的详细资料。实践、过程和指导方针准,并列出这些行为的详细资料。实践、过程和指导方针解释了员工应当怎样遵守策略。解释了员工应当怎样遵守策略。5.2.2 具体的信息安全策略具体的信息安全策略n企业信息安全企业信息安全策略策略n基于问题的安基于问题的安全策略全策略n基于系统的安基于系统的安全策略全策略5.2.2.1 企业信息安全策略企业信息安全策略企业信息安全策略(企业信息安全策略(EISP)安全项目策略、总安安全项目策略、总安全策略、全策略、IT 安全策略、高级信息安全策略,也就是为整个安全策略、高级信息安全策略,也就是为整个机构安全工作制
5、定战略方向、范围和策略基调。机构安全工作制定战略方向、范围和策略基调。pEISP 为信息安全的各个领域分配责任,包括信息安全为信息安全的各个领域分配责任,包括信息安全策略的维护、策略的实施、最终用户的责任。策略的维护、策略的实施、最终用户的责任。pEISP 还特别规定了信息安全项目的制定、实施和管理还特别规定了信息安全项目的制定、实施和管理要求要求。pEISP 是一个执行级的文档,是由是一个执行级的文档,是由 CISO 与与 CIO 磋商后磋商后起草的。通常起草的。通常 2 耀耀 10 页长,它构成了页长,它构成了 IT 环境的安全环境的安全理念。理念。EISP 一般不需要做经常或日常的修改,
6、除非机一般不需要做经常或日常的修改,除非机构的战略方向发生了变化。构的战略方向发生了变化。5.2.2.1 企业信息安全策略企业信息安全策略n企业信息安全策略(企业信息安全策略(EISP)的组成)的组成尽管各个机构的企业信息安全策略有差别,但大多数尽管各个机构的企业信息安全策略有差别,但大多数 EISP 文档应该包括以下要素:文档应该包括以下要素:p关于企业安全理念的总体看法关于企业安全理念的总体看法p机构的信息安全部门结构和实施信息安全策略人员信息机构的信息安全部门结构和实施信息安全策略人员信息p机构所有成员共同的安全责任(员工、承包人、顾问、机构所有成员共同的安全责任(员工、承包人、顾问、合
7、伙人和访问者)合伙人和访问者)p机构所有成员明确的、特有的安全责任机构所有成员明确的、特有的安全责任注意:应把机构的任务和目标纳入注意:应把机构的任务和目标纳入 EISP 中中例:一个好的例:一个好的 EISP 的组成部分的组成部分 5.2.2.1 企业信息安全策略企业信息安全策略5.2.2.1 企业信息安全策略企业信息安全策略5.2.2.2 基于问题的安全策略基于问题的安全策略基于问题的安全策略(基于问题的安全策略(ISSP,Issue-Specific Security Policy)提供了详细的、目标明确的指南,以此)提供了详细的、目标明确的指南,以此来来指导所有机构成员如何使用基于技术
8、的系统指导所有机构成员如何使用基于技术的系统。一个有效的一个有效的 ISSP 是各方(机构和成员)之间的协议是各方(机构和成员)之间的协议,并且显示,为了保障技术不会以不恰当方式被使用,机构并且显示,为了保障技术不会以不恰当方式被使用,机构已经做出了极大的努力。已经做出了极大的努力。ISSP应该让机构成员认识到,策略的目标不是为机构应该让机构成员认识到,策略的目标不是为机构的信息系统遭受破坏后起诉有关责任人提供法律依据,而的信息系统遭受破坏后起诉有关责任人提供法律依据,而是为了就哪些技术能否应用到系统中而达成共识。一旦达是为了就哪些技术能否应用到系统中而达成共识。一旦达成了这个共识,员工就可以
9、不用寻求领导批准,而任意使成了这个共识,员工就可以不用寻求领导批准,而任意使用各种类型的技术。用各种类型的技术。5.2.2.2 基于问题的安全策略基于问题的安全策略n基于问题的安全策略(基于问题的安全策略(ISSP)应完成的目标)应完成的目标p明确地指出机构期望其员工如何使用基于技术的系统。明确地指出机构期望其员工如何使用基于技术的系统。p记录了基于技术的系统的控制过程,并确定这个控制过记录了基于技术的系统的控制过程,并确定这个控制过程和相关的负责机构。程和相关的负责机构。p当机构的员工由于使用不当,或者非法操作系统而造成当机构的员工由于使用不当,或者非法操作系统而造成了损失,它可以保护机构不
10、承担该责任。了损失,它可以保护机构不承担该责任。nISSP 的特性的特性 p它是针对特定的、基于技术的系统它是针对特定的、基于技术的系统p它要求不断地升级它要求不断地升级p它包含一个问题陈述,解释了机构对特定问题的态度它包含一个问题陈述,解释了机构对特定问题的态度5.2.2.2 基于问题的安全策略基于问题的安全策略n基于问题的安全策略(基于问题的安全策略(ISSP)的组成)的组成p目标声明目标声明p授权访问和设备的使用授权访问和设备的使用p设备的禁止使用设备的禁止使用p系统管理系统管理p违反策略违反策略p策略检查和修改策略检查和修改p责任的限制责任的限制5.2.2.2.1 ISSP 的组成的组
11、成n目标声明目标声明概括策略的范围和适用性,用于解决以下问题:概括策略的范围和适用性,用于解决以下问题:p这个策略服务于什么目标?这个策略服务于什么目标?p由谁来负责实施策略?由谁来负责实施策略?p策略文档涉及到哪些技术问题?策略文档涉及到哪些技术问题?n授权访问和设备的使用授权访问和设备的使用 解释了谁可以使用策略所规定的技术,用于什么目解释了谁可以使用策略所规定的技术,用于什么目的。该部分规定了以的。该部分规定了以“公正和负责任的使用公正和负责任的使用”方式使用方式使用设备和机构的其他资产,并且阐述了关键法律问题,例设备和机构的其他资产,并且阐述了关键法律问题,例如个人信息和隐私的保护。如
12、个人信息和隐私的保护。注意:机构的信息系统是该机构的专有财产,用户并没机构的信息系统是该机构的专有财产,用户并没有特殊的使用权有特殊的使用权。5.2.2.2.1 ISSP 的组成的组成n设备的禁止使用设备的禁止使用 阐述了设备禁止使用的范围,如:私人使用、破坏阐述了设备禁止使用的范围,如:私人使用、破坏性使用或者误用、冒犯或者侵扰的材料,以及侵犯版权、性使用或者误用、冒犯或者侵扰的材料,以及侵犯版权、未经批准的东西和其他涉及知识产权的活动。未经批准的东西和其他涉及知识产权的活动。一个机构可以灵活地组合授权访问、设备的使用和一个机构可以灵活地组合授权访问、设备的使用和设备的禁止使用,形成设备的禁
13、止使用,形成“恰当的使用策略恰当的使用策略”。n系统管理系统管理 指定用户和系统管理员的责任,以便让各方都知道指定用户和系统管理员的责任,以便让各方都知道他们应该负责什么。他们应该负责什么。一家公司可能希望发布具体的规则来指导员工如何一家公司可能希望发布具体的规则来指导员工如何使用电子邮件和电子文档、如何存储电子文档、授权雇使用电子邮件和电子文档、如何存储电子文档、授权雇主如何监控,以及如何保护电子邮件和其他电子文档的主如何监控,以及如何保护电子邮件和其他电子文档的物理和电子安全。物理和电子安全。5.2.2.2.1 ISSP 的组成的组成n违反策略违反策略 规定了对违规行为的惩罚和员工的反馈方
14、式,惩罚规定了对违规行为的惩罚和员工的反馈方式,惩罚应该针对每种违规类型而设计;这部分也应该提供针对应该针对每种违规类型而设计;这部分也应该提供针对怎样报告已观察到的或可疑的违规行为怎样报告已观察到的或可疑的违规行为。n策略检查和修改策略检查和修改 明确明确ISSP 的具体检查和修改方法,以便保证用户的具体检查和修改方法,以便保证用户手上总是有反映机构当前技术和需求的指导方针。手上总是有反映机构当前技术和需求的指导方针。n责任的限制责任的限制 对一系列的对一系列的“拒绝承担责任声明拒绝承担责任声明”做了概要说明做了概要说明,如果员工使用公司的技术时,违反了公司的策略或法律,如果员工使用公司的技术时,违反了公司的策略或法律,假设管理者不知道或不同意这种违规行为,那么公司将假设管理者不知道或不同意这种违规行为,那么公司将不会保护他们,并且不会为他们的行为负责。不会保护他们,并且不会为他们的行为负责。5.2.2.2.2 ISSP 的制定和管理的制定和管理
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1