1、第22讲 信息安全管理,全国信息安全标准化技术委员会简称（ ） ， 其编号为（ ） ， 直属国家标准化管理委员会 ， 下设（ ）个工作组 。
（ ）下属的信息安全分技术委员会 国际标准化组织的英文缩写是（ ） 。
国际电工委员会的英文缩写是（,TC260,信安标委,信息技术联合技术委员会,ISO,IEC,7,课前检查,新课引入,为什么会导致这些事故发生,信息安全管理策略,信息安全管理策略也称信息安全方针 ， 是组织对信息和信息处理设施进行管理、保护和分配的准则和规划 ， 以及使信息系统免遭入侵和破坏而必须采取的措施 。
它告诉组织成员在日常的工作中什么是必须做的 ， 什么是可以做的 ， 什么是不可以做的；哪里是安全区 ， 哪里是敏 。

2、感区 ， 就像交通规则之于车辆和行人 ， 信息安全策略是有关信息安全方面的行为规范,信息安全管理策略,一个成功的安全策略应当遵循： 1）综合平衡(综合考虑需求、风险、代价等诸多因素) 。
2）整体优化(利用系统工程思想 ， 使系统总体性能最优) 。
3）易于操作和确保可靠,第 10 页,在制定信息安全管理策略时 ， 要严格遵守以下主要原则 。
1）目的性 。
策略是为组织完成自己的信息安全使命而制定的 ， 策略应该反映组织的整体利益和可持续发展的要求 。
2）适用性 。
策略应该反映组织的真实环境和信息安全的发展水平 。
3）可行性 。
策略应该具有切实可行性 ， 其目标应该可以实现 ， 并容易测量和审核 。
没有可行性的策略不仅浪费时间还会引起 。

3、政策混乱 。
4）经济性 。
策略应该经济合理 ， 过分复杂和草率都是不可取的 。
5）完整性 。
能够反映组织的所有业务流程的安全需要 。
6）一致性 。
策略的一致性包括下面三个层次：和国家、地方的法律法规保持一致；和组织己有的策略、方针保持一致；整体安全策略保持一致 ， 要反映企业对信息安全的一般看法 。
7）弹性 。
策略不仅要满足当前的组织要求 ， 还要满足组织和环境在未来一段时间内发展的要求,制定策略的原则,第 11 页,理论上 ， 一个完整的策略体系应该保障组织信息的机密性、可用性和完整性 。
信息安全策略应包含下列一些内容： 1）适用范围 。
包括人员范围和时效性 ， 例如“本规定适用于所有员工” ， “适用于工作时间和非工作时间” 。

【共35页|第22讲信息安全管理策略与法律法规[共35页]】4、 。
不仅要消除本该受到约束的员工有认为自己是个例外的想法 ， 也保证策略不至于被误解是针对某个员工的；同时也告诉员工本规定在什么时间发挥效力 。
2）目标 。
例如 ， “为确保企业的经营、技术等机密信息不泄漏 ， 维护企业的经济利益 ， 根据国家有关法律 ， 结合企业实际 ， 特制定本条例 。
”明确了信息安全保护对公司是有着重要意义的 ， 而且与国家的法律法规是一致的 。
主题明确的策略可能会有更加确切、详细的目标 ， 如防病毒策略的目标可以是：“为了正确执行对计算机病毒（蠕虫、特洛伊木马、黑客恶意程序）的预防、侦测和清除过程 ， 特制定本策略,策略的主要内容,第 12 页,3）策略主题 。
通常一个组织可能会考虑开发下列主题的信息安全管理策略 。

5、：设备和及其环境的安全 。
信息的分级和人员责任 。
安全事故的报告与响应 。
第三方访问的安全性 。
外围处理系统的安全 。
计算机和网络的访问控制和审核 。
远程工作的安全 。
加密技术控制 。
备份、灾难恢复和可持续发展的要求 。
4）策略签署 。
信息安全管理策略是强制性的、惩罚性的 ， 策略的执行需要来自管理层的支持 ， 通常是信息安全主管或总经理签署信息安全管理策略 。
签署人的管理地位不能太低；否则会有执行的难度 ， 如果遭到某高层主管的抵制常会导致策略失败 ， 高层主管的签署也表明信息安全不单单是信息安全部门的事情 ， 还是和整个组织所有成员都是密切相关的 。
5）策略的生效时间和有效期 。
旧策略的更新和过时策略的废除也是很重要的 ， 应该保持生 。

6、效的策略中包含新的安全要求,策略的主要内容(续,第 13 页,6）重新评审策略的时机 。
策略除了常规的评审时机 ， 在下列情况下也需要重新评审：企业管理体系发生很大变化 。
相关的法律法规发生了变化 。

来源：(未知)

【学习资料】网址：/a/2021/0322/0021749433.html

标题：共35页|第22讲信息安全管理策略与法律法规[共35页]