信息安全策略的制定

制定信息安全政策的缘由

地球人都知道信息安全的目标是为了保障组织信息资产的安全、降低组织的风险,然而,为什么要服从信息安全管理呢?对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:信息安全管理需要“师出有名”,要围绕安全目标,制定和发布相关的信息安全对策和战略。

ISO 27001要求在计划阶段的第二步制定信息安全策略。

标准要求组织制定信息安全政策。这项规定也包含在附录A的相应控制措施之中,它也是ISO 27001众多章节的最前面一章,并且受到ISO 27002最佳实践指南的支持。ISO 27002章节相关条文扩充了ISO 27001附录A中同样编号的要求,并且符合ISO 27001的规范。它解释说,将政策文件作为控制目标的一项的原因是,它提供“为信息安全对业务需求和有关法律法规的依从提供管理指导和支持。”

政策和业务目标

条文接着指出,政策文件应设置为“符合经营目标的明确的政策方向”。该标准的观点是,一个成功的和有益的信息安全管理体系将不会破坏或阻止商业活动。实施阻碍业务活动的系统来应对风险,这并不与商业目标相一致,这样的话业务内部的人们将会忽略或绕过信息安全管理体系的控制。

信息安全政策是重要的,必须制定到使每个字都是清楚的、明确的和有意义的(即提供一个“明确的方向”)。最后的政策确定是根据该项目范围的完成而定。范围的划定,即成功实施ISO 27001的九大关键要素之一,对政策的定义有着举足轻重的贡献。

信息安全政策必须由董事会签署通过,并通过恰当的方式发布给那些需要用到它的人们。

信息安全治理和信息安全管理体系

关于信息治理,信息安全治理委员会绘制了一幅架构图,它展示了管理层如何响应来自业务和其他方面的直接压力来指导、评估和监测信息安全管理体系的有效性。

管理层将评价新的或变更了的业务和IT流程,并考虑当时的风险和业务需要,通过信息安全政策,提供组织以风险控制为基础的指导,将控制措施作为其作业流程的一部分,然后监测和评估这些控制的有效性。

信息安全策略的发布

既然要让人们遵守信息安全方针政策,那么它必须得到高层签署和公开发布。当然,在今天信息充斥的时代,人们可能并不愿意投入时间去主动关注组织的信息安全策略,这就需要信息安全管理团队加强信息安全策略的推广宣传。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构加强与员工的信息安全沟通,我们创作了大量的信息安全意识宣教作品,包括动画视频、电子课件、互动游戏和宣传图片,其中包含基本的、通用的信息安全方针政策和战略思想,欢迎有兴趣、有需要的客户以及合作伙伴联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

多数网络安全问题有相似甚至相同的应对之策

很多网络安全问题的应对策略存在相似之处,从管理学等多个领域来讲,并不意外。对此,昆明亭长朗然科技有限公司网络安全研究员董志军补充说:尽管网络安全技术不断创新,但是管理理念早已非常成熟,而网络安全事件的主要原因归根到底落入技术、流程和人员,无外乎有以下几个原因:

  • 基本安全原则相同:无论是预防病毒、木马、勒索软件还是防范网络入侵,它们都遵循一些基本的网络安全原则,比如最小权限原则、多重防护原则、防病毒原则等。这些通用原则决定了应对措施在某种程度上是类似的。
  • 攻防对抗本质:网络攻击和防御本质上是一场攻防对抗,攻击方法创新,防御措施也必须随之升级。因此,不同攻击手段的防御对策会有相通之处。
  • 系统安全需求:任何系统都需要保证机密性、完整性和可用性,为达成这三大安全需求,各种防护措施自然会有重叠之处,比如访问控制、备份、审计等。
  • 经验积累借鉴:随着安全事件的不断发生,安全从业人员总结出一些有效的应对经验和最佳实践,这些内容也会在处置不同安全问题时被借鉴和复用。
  • 合规性要求:一些行业或系统有严格的合规性要求,如数据安全法、等级保护、ISO等,这些标准规定了一系列必须执行的控制措施,使得不同系统的防护措施雷同。

尽管面临的具体威胁形式不同,但基于对安全风险的总体认知以及多年积累的防护经验和规范要求,网络安全防御措施在策略上不可避免地会有许多相同之处,其中频率最高的三项是保持系统的更新、设置强密码、以及强化用户的安全意识教育。

系统更新是一项长期持续性的工作,用户安全意识教育也是如此,对于用户安全意识教育而言,网络安全问题应对策略存在相似性,意味着:

  • 教育内容可复用:由于许多安全问题的应对措施相通,在进行安全意识教育时,许多通用的安全操作建议、风险防范知识等内容都是可以复用和共享的,避免重复”再次发明轮子”。
  • 教育重点明确:由于各种安全问题有共同的应对原则和策略,教育时可以把重点放在这些核心的安全概念、规范上,培养用户良好的安全习惯和意识,而不必过多地讲解每种攻击细节。
  • 培训形式可统一:针对常见问题通用的防护策略,可以设计统一的培训形式,如线上课程、动画短片等,提高培训的可及性和效率。
  • 宣传途径可整合:在开展安全宣传时,可将不同类型安全问题的防范措施整合在一起,通过综合的途径如海报、手册等进行全方位宣传,提高用户接受度。
  • 教育效果可持续:由于各类问题有共同的应对逻辑,用户掌握这些核心知识后,对面临新的安全威胁时也可以迁移和延续使用,从而获得持续的教育效果。

总之,相似甚至相同的应对策略意味着安全意识教育可以聚焦于通用的核心内容和形式,提高培训的一致性和持续性,从而更高效地提升整体的用户安全意识水平。为了帮助各类型的客户防范和应对网络安全事件,昆明亭长朗然科技有限公司创作了大量的网络安全、信息保密及个人隐私相关的企业培训课程,包括系列动画视频和电子课件,欢迎有兴趣的客户联系我们,免费预览作品以及体验在线学习服务。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898