企业在建立ISO27001信息安全管理体系中的信息安全策略在解决组织信息安全问题具有十分 重要的地位。在一个大的企业中,信息安全策略的制定者可能是由一个多方人员组成的小组,而在一个中小企业中,信息安全策略的制定者一般是组织的技术管理者。信息安全策略定义了一个框架,用以保护组织的信息资产。安全策略是所有保护措施的基础,它是对整个企业优先权的描述,明确了驱动安全活动的基本假设。 信息安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。这些规则表明了企业高级管理者关于信息安全的决定和管理者对信息 安全的承诺。
基于信息安全策略所做出的与安全相关的决定,应该提供一个高层次 的原则性观点,在范围上是全面的。信息安全策略的内容不涉及具体做什么和如何做的问题,与技术方案相比,信息安全策略只是描述一个组织保证信息安全的途径 的指导性文件,只需指出在信息安全管理方面要完成的目标。信息安全策略对于整个组织提供全局性指导,为具体的安全措施和规定提供一个全局性框架。
信息安全策略的制定者综合风险评估、信息对业务的重要性,考虑组织所遵从的安全标准,中小企业的信息安全策略主要需要考虑以下具体策略:
1.使用策略——描述设备使用、计算机服务使用和内部员工安全规定、以保护企业的信息和资源安全。
2.加密策略——描述企业对数据加密的安全要求。
3.访问策略——定义访问权力,指定用户、工作团体和管理者可接受的使用准则,以便从失败或者泄密中保护资产。它应该提供指导性的原则,用以指导外部连接、数据通信、向网络中连接设备和向系统中添加新的软件。它还需要指明任何需要通知的信息。
4.职责策略——定义用户、工作团体和管理者的职责。它应该规定审计能力并提供事故处理准则(也就是说,如果检测到一个可能的入侵的话,需要做什么以及联系谁)。
5.线路连接策略——描述诸例如传真发送和接收、模拟线路与计算机的连接、拨号连接等安全要求。
6.反病毒策略——给出有效减少计算机病毒对企业的信息安全威胁的一些指导方针,明确在哪些环节必须进行病毒检测。
7.审计策略——描述信息安全审计要求,包括审计小组的人员组成、权限、事故调查、信息安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求。
8.敏感信息策略——对于组织的机密信息进行分级,按照它们的敏感度描述安全要求。
9.电子邮件使用策略——描述组织内部和外部电子邮件接收、传递的安全要求。
10.数据库策略——描述信息的存储、检索、更新等管理数据库数据的安全要求。
11.内部策略——描述对组织内部的各种活动信息安全的要求,使组织的产品、服务和利益受到充分保护。
12.互联网接入策略——定义在组织防火墙之外的设备和操作的安全要求。
13.远程访问策略——定义从组织外部计算机或者网络连接到组织内部网络进行外部访问的安全要求。
14.口令防护策略——定义创建、保护和改变口令的要求。
15.路由器安全策略——定义组织内部路由器与交换机的最低安全配置要求。
16.服务器安全策略——定义组织内部的服务器的最低安全配置要求。
必须要意识到制定和落实信息安全策略是一个长期、艰苦的工作,需要付出艰苦的努力,并且由于牵扯到信息系统许多部门和绝大多数人员,可能需要改变工作方式和 流程,所以推行起来的阻力会相当大。同时信息安全策略本身存在的缺陷,包括不切实可行,太过复杂和繁琐,部分规定有缺陷等等,都会导致整体策略难以落实。