【摘要】:信息安全策略的编写者应该包括业务部门的代表,熟悉当前的信息安全技术,深入了解信息安全能力和技术解决方案的限制。信息安全策略的制定,同时还需要参考相关的标准文本和类似组织的安全管理经验。信息安全策略草稿完成后,应该将它发放到业务部门去征求意见,弄清信息安全策略会如何影响各部门的业务活动。这时候往往要对信息安全策略作出调整,最终,任何决定都是财政现实和安全之间的一种权衡。
5.1.4 信息安全策略的制定过程
制定信息安全策略的过程应该是一个协商的团体活动,信息安全策略的编写者必须了解组织的文化、目标和方向,信息安全策略只有符合组织文化,才更容易被遵守。所编写的信息安全策略还必须符合组织已有的策略和规则,符合行业、地区和国家的有关规定和法律。信息安全策略的编写者应该包括业务部门的代表,熟悉当前的信息安全技术,深入了解信息安全能力和技术解决方案的限制。
衡量一个信息安全策略的首要标准就是现实可行性。因此信息安全策略与现实业务状态的关系是:信息安全策略既要符合现实业务状态,又要能包容未来一段时间的业务发展要求。在编写策略文档之前,应当先确定策略的总体目标,必须保证已经把所有可能需要策略的地方都考虑到。首先要做的是确定要保护什么以及为什么要保护它们。策略可以涉及硬件、软件、访问、用户、连接、网络、通信以及实施等各个方面,接着就需要确定策略的结构,定义每个策略负责的区域,并确定安全风险量化和估价方法,明确要保护什么和需要付出多大的代价去保护。风险评估也是对组织内部各个部门和下属雇员对于组织重要性的间接度量,要根据被保护信息的重要性决定保护的级别和开销。信息安全策略的制定,同时还需要参考相关的标准文本和类似组织的安全管理经验。
信息安全策略草稿完成后,应该将它发放到业务部门去征求意见,弄清信息安全策略会如何影响各部门的业务活动。这时候往往要对信息安全策略作出调整,最终,任何决定都是财政现实和安全之间的一种权衡。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
