这一节的重点是强调安全必须要抱紧高层大腿,否则什么事情都进行不了。同时要把策略,标准,基线,指南,过程和实施的区别和联系搞清楚。
计算机及其上处理的信息通常与公司的关键任务和目标有直接关系。由于这一级别的重要性,高级管理人员应将保护这些项目作为高度优先事项,并提供必要的支持、资金、时间和资源,以确保系统、网络和信息以最合理和最具成本效益的方式得到保护。为了成功地实现这些目标,必须制定一种全面的管理方法。
要使公司的安全计划取得成功,它必须从最高层开始,并且在组织内的每一个级别都是有用和有效的。高级管理层需要定义安全的范围,并确定和决定必须保护什么以及保护到什么程度。
安全计划包含为公司提供全面保护所需的所有内容,并制定长期安全战略。安全计划的文档应由安全策略、程序、标准、指导方针和基线组成。人力资源和法律部门必须参与这些文件中规定的规则和要求的制定和执行。
剩余内容请看本人公众号debugeeker, 链接为CISSP考试指南笔记:1.10 策略、标准、基线、指南和过程