Quick Points 1 企业信息安全策略怎么做

一切工作的开始:信息安全策略

信息安全策略(Policy)是一个概括性的文档,制定企业内部和信息安全有关的所有方面和行为规范,必须获得高级管理层的批准和支持。

在制定时,需要在战略层面重点考虑以下几个方面:

  1. 所处行业的监管规范性要求和企业对信息安全的管理要求
  2. 企业的业务目标
  3. 企业的风险接受度
  4. 企业对资产的价值和实施保护的成本进行比较,进行成本评估

经过战略层面的汇总过滤,形成大体的信息安全策略,然后通过CIA安全原则,在战术层面制定相关的标准,指导方针,流程和基线。

C:机密性,如何保障企业敏感信息不被非法窃取或曝光,在敏感数据的各个环节,安全保障能够得到强制执行。典型做法就是加密。

I:完整性,如何防范数据遭到非法篡改,确保数据的准确性。典型做法就是应用哈希。

A:可用性,如何保障用户在访问资源时,获得可靠的服务。典型做法就是高可用和备份。

什么是标准(Standard)?

强制执行的规章制度和行为准则,比如敏感数据在传输中必须采用某种算法进行加密。

什么是指导方针(Guideline)?

在实施前,指导用户的推荐方法,参考意见和操作指南。

什么是流程(Procedure / Process)?

对于某项任务的详细操作指导。

什么是基线(Baseline)?

最低限度的安全措施。

在制定的章节中运用PDCA,逐步描述,比如:

  1. 在P环节,可以描述总体的管理要求,对资产,数据,系统及人员进行分析,概括其所面对的风险和威胁,识别出高风险领域,确保策略和业务目标一致。
  2. 在D环节,可以分别对各个保护措施进行描述,包括管理上的和技术上的,典型的几个方面:AAA,防火墙,加密技术,安全培训等,可以参考ISO 27001或NIST框架。
  3. 在C环节,可以对监测和响应做描述,比如IDS,IPS, 日志记录系统,SOC及安全事件响应等。
  4. 在A环节,技术上可以分别对加固,漏扫,安全测试等方面进行描述,管理上,定期组织全员培训,签署确认书等方式强化每个人是信息安全第一责任人意识。

每年根据新技术和新要求进行审阅和修订,获得高级管理层的审批和支持。

总之,在安全策略的制定上,遵循自顶向下,先政策,再制度,最后落实在流程上,层层相扣,层层细化。

相关推荐
qingtian!9 小时前
vulnhub-billu_b0x靶机渗透
网络安全·渗透测试
浩浩测试一下12 小时前
06高级语言逻辑结构到汇编语言之逻辑结构转换 for (...; ...; ...)
汇编·数据结构·算法·安全·web安全·网络安全·安全架构
爱思德学术16 小时前
中国计算机学会(CCF)推荐学术会议-A(网络与信息安全):Eurocrypt 2026
安全·网络安全·密码学
jieyu111920 小时前
Python 实战:内网渗透中的信息收集自动化脚本(2)
python·网络安全·脚本开发
云声风语21 小时前
CTF-RSA-openssl-pem格式的key
网络安全·密码学
天纵软件1 天前
全国网络安全知识竞赛有哪些
网络安全·技能知识竞赛·知识竞赛活动公司·知识竞赛活动策划·知识竞赛软件·高端知识竞赛活动
安全漏洞防治中心2 天前
Roadmap:一年实现安全漏洞防治自动化
运维·web安全·网络安全·自动化·漏洞管理·漏洞处置sop·漏洞紧急修复建议
Bruce_Liuxiaowei2 天前
使用批处理脚本安全清理Windows系统垃圾
网络·windows·安全·网络安全
lingggggaaaa2 天前
小迪安全v2023学习笔记(七十讲)—— Python安全&SSTI模板注入&项目工具
笔记·python·学习·安全·web安全·网络安全·ssti
Johny_Zhao2 天前
Linux防止rm误操作防护方案
linux·网络·人工智能·网络安全·信息安全·云计算·yum源·系统运维