监理公司管理系统 | 工程企业管理系统 | OA系统 | ERP系统 | 造价咨询管理系统 | 工程设计管理系统 | 甲方项目管理系统 | 签约案例 | 客户案例 | 在线试用
X 关闭
外贸ERP

当前位置:工程项目OA系统 > 行业ERP > 外贸ERP

企业应当如何编制信息安全策略

申请免费试用、咨询电话:400-8352-114

来源:泛普软件

信息安全策略是信息安全项目的基石。它应当反映一个企业的安全目标,以及企业为保障信息安全而制定的管理策略。因此,为了实施信息安全策略的后续措施,管理人员必须取得一致意见。在策略的内容问题上存在争论将会影响后续的强化阶段,其结果就是导致信息安全项目“发育不良”。这意味着,为了编制信息安全策略文档,企业必须拥有明确定义的安全目标,以及为保障信息安全而编制的管理策略。  安全与管理不能分家

市场上集成了安全策略的产品中,很少有哪种方案能够同时让安全专家和管理人员都满意。试图教育管理人员如何思考安全问题并非恰当的方法。相反,构建安全策略的首要一步是明确管理部门如何看待安全。因为,所谓的安全策略就是关于信息安全的一套管理要求,这些要求向安全专业人员提供了规范指南。另一方面,安全专业人员向管理人员提供规范指南,容易忽略管理需求。

安全专业人员应当吸取管理人员的观点,不妨向其“讨教”下面这些与信息安全有关的问题:

1、你如何描述自己所接触的信息类型?

2、你依赖哪类信息做出决策?

3、有没有哪些信息比其它信息更加需要保密?

根据这些问题,就可以制定信息分类系统(例如,形成客户信息、财务信息、销售信息等),每种信息系统的正确处理过程都可在业务处理层次上描述。

当然,老练的安全专家还可提供独到的建议,从而影响管理人员关于组织策略的管理观点。一旦安全专家完全理解了管理部门的观点,就有可能介绍一个与管理部门一致的安全框架。该框架将会成为企业信息安全项目的基石,为构建信息安全策略提供指南。

通常,安全业的标准文档被用作基准框架。这种方法很合理,因为它既有助于确保公司管理层充分地接受策略,也有利于外部审核者和参与企业信息安全项目的其它人接受。

然而,这些文档从其本质上说并不具体,并不描述特定的安全管理目标。所以它们必须与管理部门的信息相结合,才能产生策略指南。此外,为了保持与标准文档的一致性,期望管理部门改变其管理方式也不合理。但是,信息安全专业人员可以从这些文档中获取良好的安全管理方法,并可以看出是否可以将其整合到企业当前的结构中。

保证安全策略的可行性

安全策略应当反映真正的实践。否则,策略发布之时,即企业违规之时。要保持策略的简易可行,信息安全项目要能够强化策略,同时又可以解决存在争论的问题。

保持策略简易的另外一个原因是,人们都清楚策略并不存在例外情况,因而他们会更愿意预先保持策略的可行性,其目的是为了保证自己能够遵循策略。如果你的策略中出现了这样的语句,“经由主管经理同意,可以不受该策略的约束”,那么,策略文档就毫无价值了。策略文档就不再代表管理部门对信息安全项目的许诺,而是代表策略将无法实施。在遵循信息安全策略时,必须能够与遵循企业内部的其它策略一样处于同等水平。策略的言辞必须能够确保得到主管人员的完全同意。

例如,假设在是否准许用户访问可移动媒体(如USB存储设备)的问题上存在着争论。安全专业人员相信绝对不应当准许这种访问,而技术经理可能会认为负责数据操作的技术实施部门必须可以将数据移动或复制到任何介质上。在策略水平上,受到多数人意见的推动,将会出现这样的表述,“对移动介质设备的所有访问要得到主管经理的认可。”技术主管经理认可过程的细节可以进一步讨论和协商。而一般性的策略表述仍要阻止任何人在没有得到主管经理同意的情况下使用移动存储介质。

在大型企业中,策略遵循的细节可能大相径庭。在这种情况下,根据人员(员工)来区分策略就比较恰当。整个企业范围内的策略将成为一种全局策略,它包括信息安全方面最常见的范围和规范。不同的分支机构需要发布自己的策略。如果子策略文档的人员在公司范围内有着确切的定义,这种分布式策略就极为有效。在这种情况下,为了更新这些文档,不必谋求同层管理部门的许可。

例如,信息技术的操作策略应当仅需要信息技术部门的领导许可,当然,它要与全局的安全策略保持一致,并仅将管理部门的许可增加到全局的安全策略中。策略应当包含这种表述,如“仅有授权的管理员能够对操作系统作出更改”。还有,“仅能在获得授权的变更控制过程中才能访问普通ID的口令”。

信息安全策略应当包含哪些方面?

那么,信息安全策略中应当至少包含哪些信息呢?这种策略应当至少足以传达关于安全方面的管理目标和方向,因而它应当包含:

1、范围。它应当涉及企业内所有信息、系统、设施、程序、数据、网络、所有的技术用户,绝无例外。

2、信息分类。策略应当提供特定内容的定义而不是一般化的“机密”或“限制”。

3、在每种信息分类中安全信息处理的管理目标。例如,法律、法规、安全方面的合同义务等,这些都可以整合,并表述为通用的目标,如“客户的私密信息不应当以明文形式授权给除客户代表之外的任何人,并且仅能用于与客户交流的目的。”

4、其它管理要求和补充文档的策略布置(例如,它要由所有主管阶层的同意,所有的其它信息处理文档必须与其保持一致。)

5、用于参考的证明文件(例如,流程、技术标准、程序、指南等。)

6、对企业范围内行之有效的安全要求和规范的具体规定。(例如,对任何计算系统的所有访问都要求身份确认和验证,不能共享个人的认证机制)。

7、指明确切、具体的责任。(例如,技术部门是电信线路的唯一提供者。)

8、违反策略(不合规)时所面临的后果(例如,解聘或合同中止等)。

上述清单足以保证信息安全策略的完整性,当然,其前提条件是,规定具体安全措施的责任要在“辅助文档”和“责任”部分进行定义和描述。虽然第6和7两个方面可能包含许多关于安全措施的其它细节,为了保证策略的可读性,应设法减少其数量,并依靠子策略或证明文档来包含各种要求。再有,在策略水平上的完整合规比让策略包括大量的细节更为重要。

注意,策略的形成过程在策略文档之外。关于策略的核准、更新和版本控制应当谨慎保留,并且在审计策略的过程中要保持其可用性。

发布:2007-04-29 10:18    编辑:泛普软件 · xiaona    [打印此页]    [关闭]

泛普外贸ERP其他应用

制药行业ERP 机械设备ERP 煤炭行业ERP 采矿行业ERP 集团企业ERP 餐饮行业ERP 纺织行业ERP 钢管行业ERP 电力行业ERP 化工行业ERP 汽车行业ERP 摩托车ERP 酒店行业ERP 汽配行业ERP 手机制造ERP 胶粘带ERP 食品行业ERP 手袋箱包ERP 皮革行业ERP LED行业ERP 铸造行业ERP 陶瓷行业ERP 造纸行业ERP 肉食行业ERP 内燃机工程ERP 房地产ERP 化妆品美容ERP 石材加工ERP 电器行业ERP 通讯行业ERP 标准件ERP 珠宝行业ERP 仪器仪表ERP 快速消费品ERP 太阳能电池ERP 农业ERP 磁材行业ERP 中小企业ERP 钢结构ERP 小家电ERP 薄膜包装ERP 石油行业ERP 百货行业ERP 烟草行业ERP 金融行业ERP 乳制品ERP 石化行业ERP 电梯行业ERP 美容连锁ERP 电缆行业ERP 涂料企业ERP 玩具ERP系统 医疗器械ERP 印刷企业ERP 钟表ERP 薄板钢带ERP 电动车ERP 零售行业ERP 中国软包ERP 装饰装潢ERP 流通行业ERP 租赁行业ERP 铝板行业ERP 教育行业ERP 装修行业ERP 物流行业ERP 工程公司ERP 机电行业ERP 服务企业ERP 软件企业ERP 电脑行业ERP 商贸行业ERP 针织行业ERP 特殊行业ERP 销售行业ERP 快递行业ERP 设计行业ERP 重工行业ERP 商业ERP系统 校园ERP系统 药品ERP系统 家装ERP 生鲜ERP系统 门店ERP系统 制衣ERP系统 商场ERP系统 线路板ERP 网店ERP 旅行社ERP 保险行业ERP 能源行业ERP 广告行业ERP 培训ERP 批发行业ERP 银行ERP 政府ERP 渔业ERP 畜牧行业ERP 饲料行业ERP 企业ERP 物业ERP 房屋中介ERP 商业银行ERP 园艺行业ERP 水资源管理软件 财务公司ERP 中央银行ERP 医药行业ERP 传媒行业ERP 服装ERP 鞋业ERP 印刷ERP 家具ERP 制造业ERP 机械ERP 混凝土ERP 生产ERP系统 仓库ERP系统 外贸ERP 电子行业ERP 五金ERP 模具ERP 电商ERP系统 农副加工ERP 食品制造业ERP 饮料制造业ERP 烟草制品业ERP 服装鞋帽制造ERP 皮革毛皮及其羽绒制品业ERP 木材加工ERP 人造板制造ERP 文教体育用品ERP 医药制造业ERP 化学纤维制造业ERP 橡胶制品业ERP 塑料制品业ERP 非金属矿物制品业ERP 黑色金属冶炼加工业ERP 有色金属冶炼加工业ERP 金属制品业ERP 通用设备制造业ERP 专用设备制造业ERP 交通运输设备制造业ERP 电气机械制造ERP 通信设备制造业ERP 油气开采ERP 仪器仪表机械制造业ERP 工艺品及其他制造业ERP 危废固废处理行业erp 石油加工行业ERP 正餐服务行业ERP 综合零售行业ERP 纺织服装批发行业ERP 农产品ERP 林业ERP 有色金属矿采选行业ERP 环境保护管理软件 电信传输服务行业erp 水上运输行业ERP 公共设施管理行业ERP 卫生行业ERP 铁路运输行业ERP 商务服务行业ERP 体育行业ERP 住宿行业ERP 出版社行业ERP 高等教育行业ERP 娱乐行业ERP 居民服务行业ERP 体育场馆行业ERP 电力热力生产供应ERP 证券行业ERP 仓储行业ERP 游乐园行业ERP 航空运输行业ERP 医院ERP管理系统 社会保障行业ERP 中药材种植行业ERP 生产和供水行业ERP 社会福利行业ERP 农林牧渔行业ERP 金属家具制造ERP 医疗器械批发ERP 修理与维护服务行业ERP 研究与试验发展行业ERP 农业服务行业ERP 造纸及纸制品行业ERP 专业技术服务行业ERP 学前教育ERP 木质家具制造ERP 农畜批发ERP 文化艺术软件 养殖业ERP 化学原料ERP 装卸搬运软件 纺织制成品ERP 公共软件服务系统 人寿保险ERP 邮政行业ERP 典当行业ERP 采盐行业ERP 计算机维修ERP 塑料家具制造ERP 初等教育行业ERP 中等教育行业ERP 化肥行业ERP 职业教育行业ERP