8.2.2  信息安全策略

信息安全策略是企業(yè)信息安全體系的重要組成部分。

信息安全策略是一組規(guī)則，定義了企業(yè)要實(shí)現(xiàn)的安全目標(biāo)和實(shí)現(xiàn)這些安全目標(biāo)的途徑，具體的講，就是企業(yè)為防止因使用信息系統(tǒng)可能招致來(lái)的對(duì)企業(yè)資產(chǎn)造成損失而采取的各種措施、手段，以及建立的各種管理制度、規(guī)范等。信息安全策略可以劃分為問(wèn)題策略和功能策略。問(wèn)題策略描述了企業(yè)所關(guān)心的安全領(lǐng)域和對(duì)這些領(lǐng)域內(nèi)安全問(wèn)題的基本態(tài)度。功能策略描述如何解決所關(guān)心的問(wèn)題，包括制定具體的硬件和軟件配置規(guī)格說(shuō)明、使用策略以及員工行為策略。信息安全策略必須有清晰和完全的文檔描述，必須有相應(yīng)的措施保證信息安全策略得到強(qiáng)制執(zhí)行。

制定安全策略的目的是保證信息安全保護(hù)工作的整體性、計(jì)劃性及規(guī)范性，保證各項(xiàng)措施和管理手段的正確實(shí)施，使信息數(shù)據(jù)的保密性、完整性及可用性受到全面、可靠的保護(hù)。

在企業(yè)內(nèi)部，信息安全策略的制定者應(yīng)是由一個(gè)多方人員組成的小組。信息安全策略的制定，同時(shí)還需要參考相關(guān)的標(biāo)準(zhǔn)文本和類似組織的安全管理經(jīng)驗(yàn)。

在企業(yè)內(nèi)部，必須有行政措施保證制定的信息安全策略被不打折扣地執(zhí)行，管理層不能允許任何違反企業(yè)信息安全策略的行為存在，另外，也需要根據(jù)業(yè)務(wù)情況的變化不斷地修改和補(bǔ)充信息安全策略。