1.1 建立安全策略
随着全球信息化程度越来越高,信息化普及范围越来越广,信息网络所受的威胁也越来越多,越来越复杂化。鉴于安全管理工作的难度和复杂性,在制定安全措施必须考虑一套科学的、系统的安全策略。安全策略是建立安全机制必须首要考虑的问题,它对安全措施的具体实践提供指导和支持。总体说来,安全策略文件至少要包括一下几个部分。
(1)对安全的定义,其总体目标和范围,安全作为信息共享确保机制的重要性。
(2)支持安全目标和原则的管理意向声明。
(3)对安全政策、原则、标准和应达到要求的简要解释,比如:
① 符合立法和契约的规定;
② 安全教育方面的要求;
③ 对病毒和其他有害软件的预防和检测;
④ 持续运营管理;
⑤ 违反安全政策的后果等。
(4)安全管理的总体和具体权责的定义,包括安全事故报告等。
(5)用以支持政策的文献援引,例如,适用于具体信息系统的更详细的安全政策和流程,或使用者应当遵守的安全条例等。
安全策略要求有专人按既定程序对其进行定期检查和审订。检查和审订的过程要能够反映风险评估方面所发生的新变化,譬如重大安全事故、组织或技术基础设施上出现的新漏洞等。为此,要求对下列事项进行定期的、有计划的审订:
(1)政策的有效性(可通过记录在案的安全事故的性质、数目和影响来论证);
(2)对运营效率进行管制的成本和影响;
(3)技术变化的影响。