這是一個關于信息系統(tǒng)安全策略PPT，主要介紹了信息安全策略概述、信息安全策略的制定、主要的安全策略、信息安全策略的執(zhí)行與維護等內(nèi)容。信息安全策略目錄一、信息安全策略概述 1.信息安全策略的定義計算機安全研究組織SANS：“為了保護存儲在計算機中的信息，安全策略要確定必須做什么，一個好的策略有足夠多‘做什么’的定義，以便于執(zhí)行者確定‘如何做’，并且能夠進行度量和評估”。一組規(guī)則，這組規(guī)則描述了一個組織要實現(xiàn)的信息安全目標和實現(xiàn)這些信息安全目標的途徑。信息安全策略是一個組織關于信息安全的基本指導規(guī)則。信息安全策略提供：信息保護的內(nèi)容和目標，信息保護的職責落實，實施信息保護的方法，事故的處理 信息安全方針信息安全方針就是組織的信息安全委員會或管理機構制定的一個高層文件，是用于指導組織如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的規(guī)則和指示。信息安全的定義，總體目標和范圍，安全對信息共享的重要性；管理層意圖、支持目標和信息安全原則的闡述；信息安全控制的簡要說明，以及依從法律法規(guī)要求對組織的重要性；信息安全管理的一般和具體責任定義，包括報告安全事故等。安全程序安全程序是保障信息安全策略有效實施的、具體化的、過程性的措施，是信息安全策略從抽象到具體，從宏觀管理層落實到具體執(zhí)行層的重要一環(huán)，歡迎點擊下載信息系統(tǒng)安全策略PPT哦。

信息系統(tǒng)安全策略PPT是由紅軟PPT免費下載網(wǎng)推薦的一款學校PPT類型的PowerPoint.

信息安全策略目錄一、信息安全策略概述 1.信息安全策略的定義計算機安全研究組織SANS：“為了保護存儲在計算機中的信息，安全策略要確定必須做什么，一個好的策略有足夠多‘做什么’的定義，以便于執(zhí)行者確定‘如何做’，并且能夠進行度量和評估”。一組規(guī)則，這組規(guī)則描述了一個組織要實現(xiàn)的信息安全目標和實現(xiàn)這些信息安全目標的途徑。信息安全策略是一個組織關于信息安全的基本指導規(guī)則。信息安全策略提供：信息保護的內(nèi)容和目標，信息保護的職責落實，實施信息保護的方法，事故的處理 信息安全方針信息安全方針就是組織的信息安全委員會或管理機構制定的一個高層文件，是用于指導組織如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的規(guī)則和指示。信息安全的定義，總體目標和范圍，安全對信息共享的重要性；管理層意圖、支持目標和信息安全原則的闡述；信息安全控制的簡要說明，以及依從法律法規(guī)要求對組織的重要性；信息安全管理的一般和具體責任定義，包括報告安全事故等。安全程序安全程序是保障信息安全策略有效實施的、具體化的、過程性的措施，是信息安全策略從抽象到具體，從宏觀管理層落實到具體執(zhí)行層的重要一環(huán)。程序是為進行某項活動所規(guī)定的途徑或方法。信息安全管理程序包括：實施控制目標與控制方式的安全控制程序；為覆蓋信息安全管理體系的管理與運作的程序 2.信息安全策略的特點指導性原則性可審核性非技術性現(xiàn)實可行性動態(tài)性文檔化 3.信息安全策略的地位必須有相應的措施保證信息安全策略得到強制執(zhí)行管理層不得允許任何違反信息安全策略的行為存在信息安全策略必須有清晰和完全的文檔描述需要根據(jù)業(yè)務情況的變化不斷的修改和補充信息安全策略 4.功能信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責，陳述組織的安全目標，為安全措施在組織的強制執(zhí)行建立相關輿論與規(guī)則的基礎。信息安全策略的保護對象 信息安全策略的設計范圍信息安全策略的設計范圍信息安全策略的設計范圍安全策略的格式 1.目標 2.范圍 3.策略內(nèi)容 4.角色責任 5.執(zhí)行紀律 6.專業(yè)術語 7.版本歷史 安全策略的格式 1.目標 建立信息系統(tǒng)安全的總體目標，定義信息安全的管理結構和提出對組織成員的安全要求 。 信息安全策略必須有一定的透明度并得到高層管理層的支持，這種透明度和高層支持必須在安全策略中有明確和積極的反映。 信息安全策略要對所有員工強調(diào)“信息安全，人人有責”的原則，使員工了解自己的安全責任與義務。 安全策略的格式 2.范圍 信息安全策略應當有足夠的范圍廣度，包括組織的所有信息資源、設施、硬件、軟件、信息、人員。在某些場合下，安全可以定義特殊的資產(chǎn)，比如：組織的主站點、各種重要裝置和大型系統(tǒng)。此外，還應包括組織所有信息資源類型的綜述，例如，工作站、局域網(wǎng)、單機等。 安全策略的格式 3.策略內(nèi)容 根據(jù)ISO17799中定義，對信息安全策略的描述應該集中在三個方面：機密性、完整性和可用性，這三種特性是組織建立信息安全策略的出發(fā)點。機密性是指信息只能由授權用戶訪問，其他非授權用戶、或非授權方式不能訪問。完整性就是保證信息必須是完整無缺的，信息不能被丟失、損壞，只能在授權方式下修改�？捎眯允侵甘跈嘤脩粼谌魏螘r候都可以訪問其需要的信息，信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運行。 安全策略的格式 3.策略內(nèi)容 根據(jù)給定的環(huán)境，應當給員工明確描述與這些特性相關的信息安全要求，組織的信息安全策略應當以員工熟悉的活動、信息、術語等方式來反映特定環(huán)境下的安全目標， 例如，組織在維護大型但機密性要求并不高的數(shù)據(jù)庫時，其安全目標主要是減少錯誤、數(shù)據(jù)丟失或數(shù)據(jù)破壞；如果組織對數(shù)據(jù)的機密性要求高時，安全目標的重點就會轉移到防止數(shù)據(jù)的非授權泄露。 安全策略的格式 4.角色責任 信息安全策略除了要建立安全程序及程序管理職責外，還需要在組織中定義各種角色并分配責任，明確要求，比如：部分業(yè)務管理人員、應用系統(tǒng)所有者、數(shù)據(jù)用戶、計算機系統(tǒng)安全小組等。 在某些情況下，信息安全策略中要理順組織中的各種個體與團體的關系，以避免在履行各自的責任與義務時發(fā)生沖突。安全策略的格式 5.執(zhí)行紀律 沒有一個正式的、文件化的安全策略，管理層不可能制定出懲戒執(zhí)行標準與機制，信息安全策略是組織制定和執(zhí)行紀律措施的基礎。信息安全策略中應當描述與安全策略損害行為的類型與程度相對應的懲戒辦法。還要考慮到有時員工違反安全策略并非是有意的，有時也可能是對安全策略缺乏必要的了解造成的。對于這種情況，信息安全策略要預先采取措施，在合理的期限內(nèi)，進行相關安全策略介紹和安全意識教育培訓。安全策略的格式 6.專業(yè)術語 對于信息安全策略中涉及的專業(yè)術語作必要的描述，使組織成員對策略的了解不會產(chǎn)生歧義。 7.版本歷史 對策略版本在各個階段的修訂情況作出說明二、信息安全策略的制定 1.制定信息安全策略的原則 ①先進的網(wǎng)絡安全技術是網(wǎng)絡安全的根本保證 ②嚴格的安全管理是確保信息安全策略落實的基礎 ③嚴格的法律、法規(guī)是網(wǎng)絡安全保障的堅強后盾具體原則起點進入原則 長遠安全預期原則最小特權原則公認原則適度復雜與經(jīng)濟原則 2.策略的制定需要達成的目標減少風險，遵從法律和規(guī)則，確保組織運作的連續(xù)性、信息完整性和機密性。 3.信息安全策略的依據(jù) ①國家法律、法規(guī)、政策 ②行業(yè)規(guī)范 ③相關機構的約束 ④機構自身的安全需求制定流程具體的制定過程如下： ①確定信息安全策略的范圍 ②風險評估/分析或者審計 ③信息安全策略的審查、批準和實施具體如下 制定流程制定流程制定流程制定流程制定流程制定流程信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。 在制定一整套信息安全策略時，應當參考一份近期的風險評估或信息審計，以便清楚了解組織當前的信息安全需求。對曾出現(xiàn)的安全事件的總結，也是一份有價值的資料。為了確定哪些部分需要進一步注意，應收集組織當前所有相關的策略文件。也可以參考國際標準、行業(yè)標準來獲得指導。 資料收集階段的工作非常重要，很多時候因為工作量和實施難度被簡化操作。制定流程在制定策略之前，對現(xiàn)狀進行徹底調(diào)研的另一個作用是要弄清楚內(nèi)部信息系統(tǒng)體系結構。信息安全策略應當與已有的信息系統(tǒng)結構相一致，并對其完全支持。這一點不是針對信息安全體系結構，而是針對信息系統(tǒng)體系結構。信息安全策略一般在信息系統(tǒng)體系結構確立以后制定，以保障信息安全體系實施、運行。制定流程收集完上面所提到的材料后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿，并尋找直接相關人員對其進行小范圍的評審。對反饋意見進行修改后，逐漸的擴大評審的范圍。當所有的支持部門做出修改后，交由信息安全管理委員會評審。 信息安全策略的制定過程有很高的政策性和個性，反復的評審過程能夠讓策略更加清晰、簡潔，更容易落地，為此在評審的過程中需要調(diào)動參與積極性，而不是抵觸。制定流程評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應當表明能予遵守并且這是繼續(xù)雇傭的條件。也應當發(fā)放到內(nèi)部服務器、網(wǎng)頁以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔得到高層領導強有力的支持。經(jīng)驗表明，高層的支持對策略的實施落地是非常重要的。制定流程一般來說，在信息安全策略文件評審過程中，會得到組織內(nèi)部各方多次評審和修訂，其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計、物理安全、信息系統(tǒng)、人力資源、法律、財政和會計部。這樣一個委員會本質上是監(jiān)督信息安全部門的工作，負責篩選提煉已提交的策略，以便在整個組織內(nèi)更好的實施落地。組織的安全策略信息對組織的運作和發(fā)展所起到的作用越來越大，信息安全問題備受關注。信息安全是指信息的保密性、完整性和可用性的保持，其終極目標是降低組織的業(yè)務風險，保持可持續(xù)發(fā)展；另外，信息安全問題不單純是技術問題，它是涉及很多方面（歷史、文化、道德、法律、管理、技術等）的一個綜合性問題，單純從技術角度考慮是不可能得到很好解決的。我們在這里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質不足以直接改變所在國家或地區(qū)的信息安全法律法規(guī)。組織的安全策略 1.組織應該有一個完整的信息安全策略我們可以通過下面一個例子來理解這種情況。某設計院有工作人員25人，每人一臺計算機，Windows 98對等網(wǎng)絡通過一臺集線器連接起來，公司沒有專門的IT管理員。公司辦公室都在二樓，同一樓房內(nèi)還有多家公司，在一樓入口處趙大爺負責外來人員的登記，但是他經(jīng)常分辨不清楚是不是外來人員。設計院由市內(nèi)一家保潔公司負責樓道和辦公室的清潔工作。總經(jīng)理陳博士是位老設計師，他經(jīng)常撥號到Internet訪問一些設計方面的信息，他的計算機上還安裝了代理軟件，其他人員可以通過這個代理軟件訪問Internet。如果該設計院的信息安全管理停留在一種放任的狀態(tài)，會發(fā)生什么問題呢？下列情況都是有可能的： 小偷順著一樓的防護欄潛入辦公室偷走了…… 保潔公司人員不小心弄臟了準備發(fā)給客戶的設計方案；錯把掉在地上的合同稿當廢紙收走了；不小心碰掉了墻角的電源插銷…… 某設計師張先生是公司的骨干，他嫌公司提供的設計軟件版本太舊，自己安裝了盜版的新版本設計程序。盡管這個盜版程序使用一段時間就會發(fā)生莫名其妙的錯誤導致程序關閉，可是張先生還是喜歡新版本的設計程序，并找到一些辦法避免錯誤發(fā)生時丟失文件。 后來張先生離開設計院，新員工小李使用原來張先生的計算機。小李抱怨了多次計算機不正常，沒有人理會，最后決定自己重新安裝操作系統(tǒng)和應用程序。小李把自己感覺重要的文件備份到陳博士的計算機上，聽朋友介紹Windows2000比較穩(wěn)定，他決定安裝Windows2000，于是他就重新給硬盤分區(qū)，成功完成了安裝。 陳博士對張先生的不辭而別沒有思想準備，甚至還沒來得及交接一下張先生離開時正負責的幾個設計項目。這幾天他一閑下來就整理張先生的設計方案，可是突然一天提示登錄原來張先生的那臺計算機需要密碼了。小李并不熟悉Windows2000，只是說自己并沒有設置密碼。 盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計算機上，可是陳博士沒有找到自己需要的文件。大家通過陳博士的計算機訪問Internet，收集了很多有用的資料�？墒亲罱�好幾臺計算機在啟動的時候就自動連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個還沒有提交的設計稿，可是員工都說沒有發(fā)過這樣的信。 …… 組織的安全策略一個正式的信息安全策略應該包括下列信息適用范圍：包括人員和時間上的范圍。目標.例如防病毒策略的目標可以是：“為了正確執(zhí)行對計算機病毒、蠕蟲、特洛伊木馬的預防、偵測和清除過程，特制定本策略”。策略主體。策略簽署。策略的生效時間和有效期（或者重新評審時間）。組織的安全策略一個正式的信息安全策略應該包括下列信息重新評審策略的時機。策略除了常規(guī)的評審時機，在下列情況下也需要重新評審：管理體系發(fā)生很大變化、相關法律法規(guī)發(fā)生了變化、信息系統(tǒng)或者信息技術發(fā)生大的變化、組織發(fā)生了重大的安全事故。與其他相關策略的引用關系。策略解釋、疑問響應的人員或者部門。策略的格式可以根據(jù)組織的慣例自行選擇，所列舉的項目也可以做適當?shù)脑鰟h。例組織的安全策略信息安全策略的主體內(nèi)容信息安全策略通常不是一篇文檔，根據(jù)組織的復雜程度還可能分成幾個層次，其主題內(nèi)容各不相同。但是每個主題的策略都應該簡潔、清晰的闡明什么行為是組織所望的，提供足夠的信息，保證相關人員僅通過策略自身就可以判斷哪些策略內(nèi)容是和自己的工作環(huán)境相關的，是適用于哪些信息資產(chǎn)和處理過程的。組織的安全策略信息安全策略的主體內(nèi)容通常一個組織可能會考慮開發(fā)下列主題的信息安全策略： 1.  環(huán)境和設備的安全 2.  信息資產(chǎn)的分級和人員責任 3.  安全事故的報告與響應 4.  第三方訪問的安全性 5.  委外處理系統(tǒng)的安全 6.  人員的任用、培訓和職責 7.  系統(tǒng)策劃、驗收、使用和維護的安全要求組織的安全策略信息安全策略的主體內(nèi)容 8.  信息與軟件交換的安全 9.  計算級和網(wǎng)絡的訪問控制和審核 10.遠程工作的安全 11.加密技術控制 12.備份、災難恢復和可持續(xù)發(fā)展的要求 13.符合法律法規(guī)和技術指標的要求組織的安全策略要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包括：目的性：策略是為組織完成自己的使命而制定的，策略應該反映組織的整體利益和可持續(xù)發(fā)展的要求；適用性：策略應該反映組織的真實環(huán)境，反映但前信息安全的發(fā)展水平；可行性：策略應該具有切實可行性，其目標應該可以實現(xiàn)，并容易測量和審核。沒有可行性的策略不僅浪費時間還會引起政策混亂；經(jīng)濟性：策略應該經(jīng)濟合理，過分復雜和草率都是不可取的。完整性：能夠反映組織的所有業(yè)務流程安全需要； 組織的安全策略要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包括：一致性：策略的一致性包括下面三個層次：      和國家、地方的法律法規(guī)保持一致        和組織已有的策略（方針）保持一致        整體安全策略保持一致，要反映企業(yè)對信息安全一般看法，保證用戶不把該策略看成是不合理的，甚至是針對某個人的。彈性：策略不僅要滿足當前的組織要求，還要滿足組織和環(huán)境在未來一段時間內(nèi)發(fā)展的要求。組織的安全策略如何使信息安全策略得到貫徹信息安全策略的實施關鍵是如何把策略準確傳達給每一位相關人員。根據(jù)信息安全策略開發(fā)或者修改信息操作程序文件，即建立一個文件化的信息安全管理體系，在組織的相應程序文件中體現(xiàn)策略的有關要求。能力和意識的培訓是一種好方法，在組織缺乏程序文件的時候作用更是不可忽略。審核是策略得以實施的保障，組織必須有成文的審核辦法，詳細規(guī)定審核的周期和技術手段，及時發(fā)現(xiàn)問題及時解決。三、主要的安全策略網(wǎng)絡服務器口令的管理（1）服務器的口令，由部門負責人和系統(tǒng)管理員商議確定，必須兩人同時在場設定。（2）服務器的口令需部門負責人在場時，由系統(tǒng)管理員記錄封存。（3）口令要定期更換（視網(wǎng)絡具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存。（4）如發(fā)現(xiàn)口令有泄密跡象，系統(tǒng)管理員要立刻報告部門負責人，有關部門負責人報告安全部門，同時，要盡量保護好現(xiàn)場并記錄，須接到上一級主管部門批示后再更換口令。用戶口令的管理（1）對于要求設定口令的用戶，由用戶方指定負責人與系統(tǒng)管理員商定口令，由系統(tǒng)管理員登記并請用戶負責人確認（簽字或電話通知）之后系統(tǒng)管理員設定口令，并保存用戶檔案。 （2）在用戶由于責任人更換或忘記口令時要求查詢口令或要求更換口令的情況下，需向網(wǎng)絡服務管理部門提交申請單，由部門負責人或系統(tǒng)管理員核實后，對用戶檔案做更新記載。（3）如果網(wǎng)絡提供用戶自我更新口令的功能，用戶應自己定期更換口令，并設專人負責保密和維護工作。防病毒策略（1）拒絕訪問能力：來歷不明的入侵軟件不得進入系統(tǒng)。（2）病毒檢測能力：系統(tǒng)中應設置檢測病毒的機制。檢測已知類病毒和未知病毒。（3）控制病毒傳播的能力：系統(tǒng)一定要有控制病毒傳播的能力。 （4）清除能力：（5）恢復能力：提供高效的方法來恢復這些數(shù)據(jù)。（6）替代操作：系統(tǒng)應該提供一種替代操作方案。在恢復系統(tǒng)時可用替代系統(tǒng)工作。安全教育與培訓策略 （1）主管信息安全工作的高級負責人或各級管理人員：重點是了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定等。（2）負責信息安全運行管理及維護的技術人員：重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。（3）用戶：重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。 可接受使用策略可接受使用策略（Acceptable Use Policy，AUP）是指這些網(wǎng)絡能夠被誰使用的約束策略。AUPs的執(zhí)行是隨網(wǎng)絡變化的。許多公共網(wǎng)絡服務有一個AUP。這個AUP是一個正式的或非正式的文件，其定義了網(wǎng)絡的應用意圖、不接受的使用和不服從的結果。一個人注冊一個基于網(wǎng)絡的服務或工作在一個社團內(nèi)部網(wǎng)時經(jīng)常會遇到一個AUP。一個好的AUP 將包括網(wǎng)絡禮節(jié)的規(guī)定，限制網(wǎng)絡資源的使用和明確指出網(wǎng)絡應該尊敬的成員的隱私，最好的AUPs使“what if”關一體化，其舉例說明這個策略在現(xiàn)實世界協(xié)商中的作用。四、信息安全策略的執(zhí)行與維護信息安全策略的推進手段 1）印刷日歷，強調(diào)每個月不同的策略，將它們張貼在辦公室中。 2）利用幽默和簡單的語言表述信息安全策略，分發(fā)給每個雇員。 3）設立一些幾十分鐘的內(nèi)部培訓課程。 4）進行信息安全策略知識競賽。 5）將信息安全策略和標準發(fā)布在內(nèi)部的網(wǎng)站上。 6）向公司員工發(fā)送宣傳信息安全策略的郵件。 7）建立內(nèi)部安全熱線，回答雇員關于信息安全策略的問題。工具支持與信息安全策略管理有關的活動很多，象配置管理，規(guī)則設置管理，口令管理，缺陷管理，補丁管理，用戶管理等等。為了減少信息安全策略維護中的勞動，可以使用一些信息安全策略管理工具。 這方面工具有PWC ESAS，PoliVec、PentaSafe、Symantec等。策略實施的建議 在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略。制定自我評估調(diào)查表。 制定遵守信息安全策略的員工協(xié)議表。 建立考察機制檢查員工是否理解策略。 基礎信息安全培訓課程。 分配策略落實負責人。通過標準保證策略的執(zhí)行 安全策略管理辦法安全策略管理相關技術安全策略管理相關技術第七章 運行與操作安全管理信息安全策略的制定過程是怎樣的？信息安全策略管理有哪些相關技術？這些技術的功能和作用分別是什么？第七章 運行與操作安全管理 The end，thank you!XN9紅軟基地

沃爾瑪信息系統(tǒng)ppt：這是沃爾瑪信息系統(tǒng)ppt，包括了公司簡介，供應鏈簡介，沃爾瑪供應鏈分析，顧客需求管理，供應商和合作伙伴管理，企業(yè)內(nèi)和企業(yè)間物流配送系統(tǒng)管理，供應鏈交互信 息管理等內(nèi)容，歡迎點擊下載。

人力資源管理信息系統(tǒng)ppt：這是人力資源管理信息系統(tǒng)ppt，包括了人力資源管理信息系統(tǒng)概述，人力資源信息系統(tǒng)需求分析，數(shù)據(jù)庫、關鍵業(yè)務模塊設計，人力資源信息系統(tǒng)設計與實現(xiàn)等內(nèi)容，歡迎點擊下載。

勞頓管理信息系統(tǒng)ppt：這是勞頓管理信息系統(tǒng)ppt，包括了學習目標，開篇案例，信息技術投資，當今商業(yè)中信息系統(tǒng)扮演的角色，組織和信息系統(tǒng)相互依存，數(shù)據(jù)和信息，信息系統(tǒng)的觀點等內(nèi)容，歡迎點擊下載。