信息系统安全策略PPT下载

这是一个关于信息系统安全策略PPT，主要介绍了信息安全策略概述、信息安全策略的制定、主要的安全策略、信息安全策略的执行与维护等内容。信息安全策略目录一、信息安全策略概述 1.信息安全策略的定义计算机安全研究组织SANS：“为了保护存储在计算机中的信息，安全策略要确定必须做什么，一个好的策略有足够多‘做什么’的定义，以便于执行者确定‘如何做’，并且能够进行度量和评估”。一组规则，这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。信息安全策略是一个组织关于信息安全的基本指导规则。信息安全策略提供：信息保护的内容和目标，信息保护的职责落实，实施信息保护的方法，事故的处理 信息安全方针信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件，是用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。信息安全的定义，总体目标和范围，安全对信息共享的重要性；管理层意图、支持目标和信息安全原则的阐述；信息安全控制的简要说明，以及依从法律法规要求对组织的重要性；信息安全管理的一般和具体责任定义，包括报告安全事故等。安全程序安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施，是信息安全策略从抽象到具体，从宏观管理层落实到具体执行层的重要一环，欢迎点击下载信息系统安全策略PPT哦。

信息系统安全策略PPT是由红软PPT免费下载网推荐的一款学校PPT类型的PowerPoint.

信息安全策略目录一、信息安全策略概述 1.信息安全策略的定义计算机安全研究组织SANS：“为了保护存储在计算机中的信息，安全策略要确定必须做什么，一个好的策略有足够多‘做什么’的定义，以便于执行者确定‘如何做’，并且能够进行度量和评估”。一组规则，这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。信息安全策略是一个组织关于信息安全的基本指导规则。信息安全策略提供：信息保护的内容和目标，信息保护的职责落实，实施信息保护的方法，事故的处理 信息安全方针信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件，是用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。信息安全的定义，总体目标和范围，安全对信息共享的重要性；管理层意图、支持目标和信息安全原则的阐述；信息安全控制的简要说明，以及依从法律法规要求对组织的重要性；信息安全管理的一般和具体责任定义，包括报告安全事故等。安全程序安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施，是信息安全策略从抽象到具体，从宏观管理层落实到具体执行层的重要一环。程序是为进行某项活动所规定的途径或方法。信息安全管理程序包括：实施控制目标与控制方式的安全控制程序；为覆盖信息安全管理体系的管理与运作的程序 2.信息安全策略的特点指导性原则性可审核性非技术性现实可行性动态性文档化 3.信息安全策略的地位必须有相应的措施保证信息安全策略得到强制执行管理层不得允许任何违反信息安全策略的行为存在信息安全策略必须有清晰和完全的文档描述需要根据业务情况的变化不断的修改和补充信息安全策略 4.功能信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序，定义安全角色赋予管理职责，陈述组织的安全目标，为安全措施在组织的强制执行建立相关舆论与规则的基础。信息安全策略的保护对象 信息安全策略的设计范围信息安全策略的设计范围信息安全策略的设计范围安全策略的格式 1.目标 2.范围 3.策略内容 4.角色责任 5.执行纪律 6.专业术语 7.版本历史 安全策略的格式 1.目标 建立信息系统安全的总体目标，定义信息安全的管理结构和提出对组织成员的安全要求 。 信息安全策略必须有一定的透明度并得到高层管理层的支持，这种透明度和高层支持必须在安全策略中有明确和积极的反映。 信息安全策略要对所有员工强调“信息安全，人人有责”的原则，使员工了解自己的安全责任与义务。 安全策略的格式 2.范围 信息安全策略应当有足够的范围广度，包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下，安全可以定义特殊的资产，比如：组织的主站点、各种重要装置和大型系统。此外，还应包括组织所有信息资源类型的综述，例如，工作站、局域网、单机等。 安全策略的格式 3.策略内容 根据ISO17799中定义，对信息安全策略的描述应该集中在三个方面：机密性、完整性和可用性，这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问，其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的，信息不能被丢失、损坏，只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息，信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。 安全策略的格式 3.策略内容 根据给定的环境，应当给员工明确描述与这些特性相关的信息安全要求，组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标， 例如，组织在维护大型但机密性要求并不高的数据库时，其安全目标主要是减少错误、数据丢失或数据破坏；如果组织对数据的机密性要求高时，安全目标的重点就会转移到防止数据的非授权泄露。 安全策略的格式 4.角色责任 信息安全策略除了要建立安全程序及程序管理职责外，还需要在组织中定义各种角色并分配责任，明确要求，比如：部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。 在某些情况下，信息安全策略中要理顺组织中的各种个体与团体的关系，以避免在履行各自的责任与义务时发生冲突。安全策略的格式 5.执行纪律 没有一个正式的、文件化的安全策略，管理层不可能制定出惩戒执行标准与机制，信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。还要考虑到有时员工违反安全策略并非是有意的，有时也可能是对安全策略缺乏必要的了解造成的。对于这种情况，信息安全策略要预先采取措施，在合理的期限内，进行相关安全策略介绍和安全意识教育培训。安全策略的格式 6.专业术语 对于信息安全策略中涉及的专业术语作必要的描述，使组织成员对策略的了解不会产生歧义。 7.版本历史 对策略版本在各个阶段的修订情况作出说明二、信息安全策略的制定 1.制定信息安全策略的原则 ①先进的网络安全技术是网络安全的根本保证 ②严格的安全管理是确保信息安全策略落实的基础 ③严格的法律、法规是网络安全保障的坚强后盾具体原则起点进入原则 长远安全预期原则最小特权原则公认原则适度复杂与经济原则 2.策略的制定需要达成的目标减少风险，遵从法律和规则，确保组织运作的连续性、信息完整性和机密性。 3.信息安全策略的依据 ①国家法律、法规、政策 ②行业规范 ③相关机构的约束 ④机构自身的安全需求制定流程具体的制定过程如下： ①确定信息安全策略的范围 ②风险评估/分析或者审计 ③信息安全策略的审查、批准和实施具体如下 制定流程制定流程制定流程制定流程制定流程制定流程信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。 在制定一整套信息安全策略时，应当参考一份近期的风险评估或信息审计，以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结，也是一份有价值的资料。为了确定哪些部分需要进一步注意，应收集组织当前所有相关的策略文件。也可以参考国际标准、行业标准来获得指导。 资料收集阶段的工作非常重要，很多时候因为工作量和实施难度被简化操作。制定流程在制定策略之前，对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致，并对其完全支持。这一点不是针对信息安全体系结构，而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定，以保障信息安全体系实施、运行。制定流程收集完上面所提到的材料后，开始根据前期的调研资料制定信息安全策略文档初稿，并寻找直接相关人员对其进行小范围的评审。对反馈意见进行修改后，逐渐的扩大评审的范围。当所有的支持部门做出修改后，交由信息安全管理委员会评审。 信息安全策略的制定过程有很高的政策性和个性，反复的评审过程能够让策略更加清晰、简洁，更容易落地，为此在评审的过程中需要调动参与积极性，而不是抵触。制定流程评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置，并附有高层管理者的签名，以表明信息安全策略文档得到高层领导强有力的支持。经验表明，高层的支持对策略的实施落地是非常重要的。制定流程一般来说，在信息安全策略文件评审过程中，会得到组织内部各方多次评审和修订，其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成，参与者一般包括以下部门的成员：信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作，负责筛选提炼已提交的策略，以便在整个组织内更好的实施落地。组织的安全策略信息对组织的运作和发展所起到的作用越来越大，信息安全问题备受关注。信息安全是指信息的保密性、完整性和可用性的保持，其终极目标是降低组织的业务风险，保持可持续发展；另外，信息安全问题不单纯是技术问题，它是涉及很多方面（历史、文化、道德、法律、管理、技术等）的一个综合性问题，单纯从技术角度考虑是不可能得到很好解决的。我们在这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织，其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。组织的安全策略 1.组织应该有一个完整的信息安全策略我们可以通过下面一个例子来理解这种情况。某设计院有工作人员25人，每人一台计算机，Windows 98对等网络通过一台集线器连接起来，公司没有专门的IT管理员。公司办公室都在二楼，同一楼房内还有多家公司，在一楼入口处赵大爷负责外来人员的登记，但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师，他经常拨号到Internet访问一些设计方面的信息，他的计算机上还安装了代理软件，其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态，会发生什么问题呢？下列情况都是有可能的： 小偷顺着一楼的防护栏潜入办公室偷走了…… 保洁公司人员不小心弄脏了准备发给客户的设计方案；错把掉在地上的合同稿当废纸收走了；不小心碰掉了墙角的电源插销…… 某设计师张先生是公司的骨干，他嫌公司提供的设计软件版本太旧，自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭，可是张先生还是喜欢新版本的设计程序，并找到一些办法避免错误发生时丢失文件。 后来张先生离开设计院，新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常，没有人理会，最后决定自己重新安装操作系统和应用程序。小李把自己感觉重要的文件备份到陈博士的计算机上，听朋友介绍Windows2000比较稳定，他决定安装Windows2000，于是他就重新给硬盘分区，成功完成了安装。 陈博士对张先生的不辞而别没有思想准备，甚至还没来得及交接一下张先生离开时正负责的几个设计项目。这几天他一闲下来就整理张先生的设计方案，可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000，只是说自己并没有设置密码。 尽管小李告诉陈博士已经把文件备份在陈博士的计算机上，可是陈博士没有找到自己需要的文件。大家通过陈博士的计算机访问Internet，收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet，陈博士收到几封主题不同的电子邮件，内容竟然包括几个还没有提交的设计稿，可是员工都说没有发过这样的信。 …… 组织的安全策略一个正式的信息安全策略应该包括下列信息适用范围：包括人员和时间上的范围。目标.例如防病毒策略的目标可以是：“为了正确执行对计算机病毒、蠕虫、特洛伊木马的预防、侦测和清除过程，特制定本策略”。策略主体。策略签署。策略的生效时间和有效期（或者重新评审时间）。组织的安全策略一个正式的信息安全策略应该包括下列信息重新评审策略的时机。策略除了常规的评审时机，在下列情况下也需要重新评审：管理体系发生很大变化、相关法律法规发生了变化、信息系统或者信息技术发生大的变化、组织发生了重大的安全事故。与其他相关策略的引用关系。策略解释、疑问响应的人员或者部门。策略的格式可以根据组织的惯例自行选择，所列举的项目也可以做适当的增删。例组织的安全策略信息安全策略的主体内容信息安全策略通常不是一篇文档，根据组织的复杂程度还可能分成几个层次，其主题内容各不相同。但是每个主题的策略都应该简洁、清晰的阐明什么行为是组织所望的，提供足够的信息，保证相关人员仅通过策略自身就可以判断哪些策略内容是和自己的工作环境相关的，是适用于哪些信息资产和处理过程的。组织的安全策略信息安全策略的主体内容通常一个组织可能会考虑开发下列主题的信息安全策略： 1.  环境和设备的安全 2.  信息资产的分级和人员责任 3.  安全事故的报告与响应 4.  第三方访问的安全性 5.  委外处理系统的安全 6.  人员的任用、培训和职责 7.  系统策划、验收、使用和维护的安全要求组织的安全策略信息安全策略的主体内容 8.  信息与软件交换的安全 9.  计算级和网络的访问控制和审核 10.远程工作的安全 11.加密技术控制 12.备份、灾难恢复和可持续发展的要求 13.符合法律法规和技术指标的要求组织的安全策略要衡量一个信息安全策略整体优劣可以考虑的因素包括：目的性：策略是为组织完成自己的使命而制定的，策略应该反映组织的整体利益和可持续发展的要求；适用性：策略应该反映组织的真实环境，反映但前信息安全的发展水平；可行性：策略应该具有切实可行性，其目标应该可以实现，并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱；经济性：策略应该经济合理，过分复杂和草率都是不可取的。完整性：能够反映组织的所有业务流程安全需要； 组织的安全策略要衡量一个信息安全策略整体优劣可以考虑的因素包括：一致性：策略的一致性包括下面三个层次：      和国家、地方的法律法规保持一致        和组织已有的策略（方针）保持一致        整体安全策略保持一致，要反映企业对信息安全一般看法，保证用户不把该策略看成是不合理的，甚至是针对某个人的。弹性：策略不仅要满足当前的组织要求，还要满足组织和环境在未来一段时间内发展的要求。组织的安全策略如何使信息安全策略得到贯彻信息安全策略的实施关键是如何把策略准确传达给每一位相关人员。根据信息安全策略开发或者修改信息操作程序文件，即建立一个文件化的信息安全管理体系，在组织的相应程序文件中体现策略的有关要求。能力和意识的培训是一种好方法，在组织缺乏程序文件的时候作用更是不可忽略。审核是策略得以实施的保障，组织必须有成文的审核办法，详细规定审核的周期和技术手段，及时发现问题及时解决。三、主要的安全策略网络服务器口令的管理（1）服务器的口令，由部门负责人和系统管理员商议确定，必须两人同时在场设定。（2）服务器的口令需部门负责人在场时，由系统管理员记录封存。（3）口令要定期更换（视网络具体情况），更换后系统管理员要销毁原记录，将新口令记录封存。（4）如发现口令有泄密迹象，系统管理员要立刻报告部门负责人，有关部门负责人报告安全部门，同时，要尽量保护好现场并记录，须接到上一级主管部门批示后再更换口令。用户口令的管理（1）对于要求设定口令的用户，由用户方指定负责人与系统管理员商定口令，由系统管理员登记并请用户负责人确认（签字或电话通知）之后系统管理员设定口令，并保存用户档案。 （2）在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下，需向网络服务管理部门提交申请单，由部门负责人或系统管理员核实后，对用户档案做更新记载。（3）如果网络提供用户自我更新口令的功能，用户应自己定期更换口令，并设专人负责保密和维护工作。防病毒策略（1）拒绝访问能力：来历不明的入侵软件不得进入系统。（2）病毒检测能力：系统中应设置检测病毒的机制。检测已知类病毒和未知病毒。（3）控制病毒传播的能力：系统一定要有控制病毒传播的能力。 （4）清除能力：（5）恢复能力：提供高效的方法来恢复这些数据。（6）替代操作：系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作。安全教育与培训策略 （1）主管信息安全工作的高级负责人或各级管理人员：重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。（2）负责信息安全运行管理及维护的技术人员：重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。（3）用户：重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。 可接受使用策略可接受使用策略（Acceptable Use Policy，AUP）是指这些网络能够被谁使用的约束策略。AUPs的执行是随网络变化的。许多公共网络服务有一个AUP。这个AUP是一个正式的或非正式的文件，其定义了网络的应用意图、不接受的使用和不服从的结果。一个人注册一个基于网络的服务或工作在一个社团内部网时经常会遇到一个AUP。一个好的AUP 将包括网络礼节的规定，限制网络资源的使用和明确指出网络应该尊敬的成员的隐私，最好的AUPs使“what if”关一体化，其举例说明这个策略在现实世界协商中的作用。四、信息安全策略的执行与维护信息安全策略的推进手段 1）印刷日历，强调每个月不同的策略，将它们张贴在办公室中。 2）利用幽默和简单的语言表述信息安全策略，分发给每个雇员。 3）设立一些几十分钟的内部培训课程。 4）进行信息安全策略知识竞赛。 5）将信息安全策略和标准发布在内部的网站上。 6）向公司员工发送宣传信息安全策略的邮件。 7）建立内部安全热线，回答雇员关于信息安全策略的问题。工具支持与信息安全策略管理有关的活动很多，象配置管理，规则设置管理，口令管理，缺陷管理，补丁管理，用户管理等等。为了减少信息安全策略维护中的劳动，可以使用一些信息安全策略管理工具。 这方面工具有PWC ESAS，PoliVec、PentaSafe、Symantec等。策略实施的建议 在组织内部网站或一些媒体发布策略。制定自我评估调查表。 制定遵守信息安全策略的员工协议表。 建立考察机制检查员工是否理解策略。 基础信息安全培训课程。 分配策略落实负责人。通过标准保证策略的执行 安全策略管理办法安全策略管理相关技术安全策略管理相关技术第七章 运行与操作安全管理信息安全策略的制定过程是怎样的？信息安全策略管理有哪些相关技术？这些技术的功能和作用分别是什么？第七章 运行与操作安全管理 The end，thank you!jGT红软基地

沃尔玛信息系统ppt：这是沃尔玛信息系统ppt，包括了公司简介，供应链简介，沃尔玛供应链分析，顾客需求管理，供应商和合作伙伴管理，企业内和企业间物流配送系统管理，供应链交互信 息管理等内容，欢迎点击下载。

人力资源管理信息系统ppt：这是人力资源管理信息系统ppt，包括了人力资源管理信息系统概述，人力资源信息系统需求分析，数据库、关键业务模块设计，人力资源信息系统设计与实现等内容，欢迎点击下载。

劳顿管理信息系统ppt：这是劳顿管理信息系统ppt，包括了学习目标，开篇案例，信息技术投资，当今商业中信息系统扮演的角色，组织和信息系统相互依存，数据和信息，信息系统的观点等内容，欢迎点击下载。