安全管理策略

10.3.4　安全管理策略

信息安全管理策略应包括信息安全管理的任务、目标、对象、原则、程序和方法这些内容。

1.信息安全管理的任务

信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息的使用安全是通过实现信息的机密性、完整性和可用性这些安全属性来保证的。信息载体包括处理载体、传输载体、存储载体和出入载体，其运行安全就是指计算系统、网络系统、存储系统和外设系统能够安全地运行。

2.信息安全管理的目标

信息安全管理的目标是达到信息系统所需的安全级别，将风险控制在用户可以接受的程度。

3.信息安全管理的对象

信息安全管理的对象从内涵上讲是指信息及其载体——信息系统，从外延上说其范围是由实际应用环境来界定。

4.信息安全管理的原则

信息安全管理遵循如下基本原则：

（1）策略指导原则

所有的信息安全管理活动都应该在统一的策略指导下进行。

（2）风险评估原则

信息安全管理策略的制定要依据风险评估的结果。

（3）预防为主原则

在信息系统的规划、设计、采购、集成和安装中要同步考虑信息安全问题，不可心存侥幸或事后弥补。

（4）适度安全原则

要平衡安全控制的费用与风险危害的损失，注重实效，将风险降至用户可接受的程度即可，没有必要追求绝对的、高昂代价的安全，实际上也没有绝对的安全。

（5）立足国内原则

考虑到国家安全和经济利益，安全技术和产品首先要立足国内，不能未经许可，未能消化改造直接使用境外的安全保密技术和产品设备，特别是信息安全方面的关键技术和核心技术尤其如此。

（6）成熟技术原则

尽量选用成熟的技术，以得到可靠的安全保证。采用新技术时要慎重，要重视其成熟的程度。

（7）规范标准原则

安全系统要遵循统一的操作规范和技术标准，以保证互连通和互操作；否则，就会形成一个个安全孤岛，没有统一的整体安全可言。

（8）均衡防护原则

安全防护如同木桶装水，一是，只要木桶的木板有一块坏板，水就会从里面泄漏出来；二是，木桶中的水只和最低一块木板齐平，其他木板再高也无用。所以，安全防护措施要注意均衡性，注意是否存在薄弱环节或漏洞。

（9）分权制衡原则

要害部位的管理权限不应交给个人管理；否则，一旦出现问题将全线崩溃。分权可以相互制约，提高安全性。

（10）全体参与原则

安全问题不只是安全管理人员的事情，全体相关人员都有责任。如果安全管理人员制定的安全制度和措施得不到相关人员的切实执行，安全隐患依然存在，安全问题就不会得到真正解决。

（11）应急恢复原则

安全防护不怕一万就怕万一，因此安全管理要有应急响应预案，并且要进行必要的演练，一旦出现问题就能够马上采取应急措施，阻止风险的蔓延和恶化，将损失减少到最低程度。

天灾人祸在所难免，因此在灾难不能同时波及的地区设立备份中心，保持备份中心与主系统数据的一致性。一旦主系统遇到灾难而瘫痪，便可立即启动备份系统，使系统从灾难中得以恢复，保证系统的连续工作。

（12）持续发展原则

为了应对新的风险，对风险要实施动态管理。因此，要求安全系统具有延续性、可扩展性，能够持续改进，始终将风险控制在可接受的水平。

5.信息安全管理的程序

信息安全管理的程序遵循PDCA循环模式的4大基本步骤：

（1）计划（Plan）。制订工作计划，明确责任分工，安排工作进度，突出工作重点，形成工作文件。

（2）执行（Do）。按照计划展开各项工作，包括建立权威的安全机构，落实必要的安全措施，开展全员的安全培训等。

（3）检查（Check）。对上述工作所构建的信息安全管理体系进行符合性检查，包括是否符合法律法规的要求，是否符合安全管理的原则，是否符合安全技术的标准，是否符合风险控制的指标等，并报告结果。

（4）行动（Action）。依据上述检查结果，对现有信息安全管理策略的适宜性进行评审与评估，评价现有信息安全管理体系的有效性，采取改进措施。

6.信息安全管理的方法

信息安全管理根据具体管理对象的不同，采用不同的具体管理方法。信息安全管理的具体对象包括机构、人员、软件、设备、介质、涉密信息、技术文档、网络连接、门户网站、应急恢复、安全审计、场地设施等。