信息安全方针和信息安全策略

信息安全政策通过为组织的每一个人提供基本的规则、指南、定义，从而在组织中建立一套信息资源保护标准，防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的明确、内容清楚，能广泛地被组织成员接受与遵守，而且要有足够的灵活性、适应性，能涵盖较大范围内的各种数据、活动和资源。建立了信息安全政策，就设置了组织的信息安全基础，可以使员工了解与自己相关的信息安全保护责任，强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。

安全方针属于高层管理文件，简要陈述信息安全宏观需求及管理承诺，应该篇幅短小，内容明确。信息安全方针应当简明、扼要，便于理解，至少应包括以下内容：
 信息安全的定义，总体目标、范围，安全对信息共享的重要性
 管理层意图、支持目标和信息安全原则的阐述。
 信息安全控制的简要说明，以及依从法律、法规要求对组织的重要性。
 信息安全管理的一般和具体责任定义，包括报告安全事故。

信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序，定义安全角色赋予管理职责，陈述组织的安全目标，为安全措施在组织的强制执行建立相关舆论与规则的基础，安全策略的格式如下表所示：

安全策略
1、目标
建立信息系统安全的总体目标，定义信息安全的管理结构和提出对组织成员的安全要求 。
信息安全策略必须有一定的透明度并得到高层管理层的支持，这种透明度和高层支持必须在安全策略中有明确和积极的反映。
信息安全策略要对所有员工强调“信息安全，人人有责”的原则，使员工了解自己的安全责任与义务。
2、范围
信息安全策略应当有足够的范围广度，包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下，安全可以定义特殊的资产，比如：组织的主站点、各种重要装置和大型系统。此外，还应包括组织所有信息资源类型的综述，例如，工作站、局域网、单机等。
3、策略内容
　根据ISO17799中定义，对信息安全策略的描述应该集中在三个方面：机密性、完整性和可用性，这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问，其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的，信息不能被丢失、损坏，只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息，信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。
　根据给定的环境，应当给员工明确描述与这些特性相关的信息安全要求，组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标，
　例如，组织在维护大型但机密性要求并不高的数据库时，其安全目标主要是减少错误、数据丢失或数据破坏；如果组织对数据的机密性要求高时，安全目标的重点就会转移到防止数据的非授权泄露。
4、角色责任
　信息安全策略除了要建立安全程序及程序管理职责外，还需要在组织中定义各种角色并分配责任，明确要求，比如：部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。
　在某些情况下，信息安全策略中要理顺组织中的各种个体与团体的关系，以避免在履行各自的责任与义务时发生冲突。例如，要明确规定谁应该负责批准新系统所使用的安全措施，是相关业务部门的负责人，还是内部专职信息系统人员。如果可能的话，还应该由安全程序的负责人签署授权书。
5、执行纪律
　　没有一个正式的、文件化的安全策略，管理层不可能制定出惩戒执行标准与机制，信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。对于严重安全事件，例如：盗窃、内部破坏、密谋犯罪等行为全，要执行开除、起诉等惩戒措施；对于一般安全事件，例如：使用盗版软件，要执行相应的处罚条款。
　　还要考虑到有时员工违反安全策略并非是有意的，比如，由于缺乏必要的知识或训练，员工可能会有违规行为；有时也可能是对安全策略缺乏必要的了解造成的。对于这种情况，信息安全策略要预先采取措施，在合理的期限内，进行相关安全策略介绍和安全意识教育培训。
6、专业术语
对于信息安全策略中涉及的专业术语作必要的描述，使组织成员对策略的了解不会产生歧义。
7、版本历史
对策略版本在各个阶段的修订情况作出说明