5.1.5 信息安全策略的框架
信息安全策略的发展已经远远超出了所发布的传统应用的使用策略。每种访问计算机系统的新方法和开发的新技术,都会导致创建新的安全策略。而信息安全策略的制定者往往综合风险评估、信息对业务的重要性,考虑组织所遵从的安全标准,制定组织相应的信息安全策略,这些策略可能包括以下几个方面的内容。
●加密策略。描述组织对数据加密的安全要求。
●使用策略。描述设备使用、计算机服务使用和雇员安全规定、以保护组织的信息和资源安全。
●线路连接策略。描述诸如传真发送和接收、模拟线路与计算机连接、拨号连接等安全要求。
●反病毒策略。给出有效减少计算机病毒对组织的威胁的一些指导方针,明确在哪些环节必须进行病毒检测。
●应用服务提供策略。定义应用服务提供者必须遵守的安全方针。
●审计策略。描述信息审计要求,包括审计小组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求。
●电子邮件使用策略。描述内部和外部电子邮件接收、传递的安全要求。
●数据库策略。描述存储、检索、更新等管理数据库数据的安全要求。
●第三方的连接策略。定义第三方接入的安全要求。
●敏感信息策略。对于组织的机密信息进行分级,按照它们的敏感度描述安全要求。
●内部策略。描述对组织内部的各种活动安全要求,使组织的产品服务和利益受到充分保护。
●Internet接入策略。定义在组织防火墙之外的设备和操作的安全要求。
●口令防护策略。定义创建、保护和改变口令的要求。
●远程访问策略。定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求。
●路由器安全策略。定义组织内部路由器和交换机的最低安全配置。
●服务器安全策略。定义组织内部服务器的最低安全配置。
●VPN安全策略。定义通过VPN接入的安全要求。
●无线通讯策略。定义无线系统接入的安全要求。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
