一、安全管理

1.1  建立安全策略

 随着全球信息化程度越来越高，信息化普及范围越来越广，信息网络所受的威胁也越来越多，越来越复杂化。鉴于安全管理工作的难度和复杂性，在制定安全措施必须考虑一套科学的、系统的安全策略。安全策略是建立安全机制必须首要考虑的问题，它对安全措施的具体实践提供指导和支持。总体说来，安全策略文件至少要包括一下几个部分。

（1）对安全的定义，其总体目标和范围，安全作为信息共享确保机制的重要性。

（2）支持安全目标和原则的管理意向声明。

（3）对安全政策、原则、标准和应达到要求的简要解释，比如：

①　符合立法和契约的规定；

②　安全教育方面的要求；

③　对病毒和其他有害软件的预防和检测；

④　持续运营管理；

⑤　违反安全政策的后果等。

（4）安全管理的总体和具体权责的定义，包括安全事故报告等。

（5）用以支持政策的文献援引，例如，适用于具体信息系统的更详细的安全政策和流程，或使用者应当遵守的安全条例等。
    安全策略要求有专人按既定程序对其进行定期检查和审订。检查和审订的过程要能够反映风险评估方面所发生的新变化，譬如重大安全事故、组织或技术基础设施上出现的新漏洞等。为此，要求对下列事项进行定期的、有计划的审订：

（1）政策的有效性（可通过记录在案的安全事故的性质、数目和影响来论证）；

（2）对运营效率进行管制的成本和影响；

（3）技术变化的影响。