信息安全策略一

8.2.2  信息安全策略

信息安全策略是企业信息安全体系的重要组成部分。

信息安全策略是一组规则，定义了企业要实现的安全目标和实现这些安全目标的途径，具体的讲，就是企业为防止因使用信息系统可能招致来的对企业资产造成损失而采取的各种措施、手段，以及建立的各种管理制度、规范等。信息安全策略可以划分为问题策略和功能策略。问题策略描述了企业所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及员工行为策略。信息安全策略必须有清晰和完全的文档描述，必须有相应的措施保证信息安全策略得到强制执行。

制定安全策略的目的是保证信息安全保护工作的整体性、计划性及规范性，保证各项措施和管理手段的正确实施，使信息数据的保密性、完整性及可用性受到全面、可靠的保护。

在企业内部，信息安全策略的制定者应是由一个多方人员组成的小组。信息安全策略的制定，同时还需要参考相关的标准文本和类似组织的安全管理经验。

在企业内部，必须有行政措施保证制定的信息安全策略被不打折扣地执行，管理层不能允许任何违反企业信息安全策略的行为存在，另外，也需要根据业务情况的变化不断地修改和补充信息安全策略。