标准源于策略,用于描述在配置方面需要 满足的要求以及需要采用的技术与遵照的 特定步骤。标准是用来实现策略的过程与 规程,并提供可供审计的详细信息及规范。 对应上述策略例子,相应的标准可以这样 写:“所有基于网络的通信必须使用3DES (3倍数字加密标准)”进行加密
• 标准源于策略,用于描述在配置方面需要 满足的要求以及需要采用的技术与遵照的 特定步骤。标准是用来实现策略的过程与 规程,并提供可供审计的详细信息及规范。 • 对应上述策略例子,相应的标准可以这样 写:“所有基于网络的通信必须使用3DES (3倍数字加密标准)”进行加密
·指导有时也称为手册,提供了实现信息安全控制 策略及标准的推荐方案。指导本身并不是策略要 求,但却是帮助组织的业务与技术领域与策略要 求保持一致的最佳实现方案。指导并不一定要求 遵从,但提供了一种与标准相匹配的方法,而标 准则要求必须与策略相一致。 针对上述策略例子,指导要提供关于如何配置网 络元素和根据标准要求加密信息的详细资料与操 作方法,供负责实施解决方案的工程师参考,但 工程师可以选择其他更合适的方案实施
• 指导有时也称为手册,提供了实现信息安全控制 策略及标准的推荐方案。指导本身并不是策略要 求,但却是帮助组织的业务与技术领域与策略要 求保持一致的最佳实现方案。指导并不一定要求 遵从,但提供了一种与标准相匹配的方法,而标 准则要求必须与策略相一致。 • 针对上述策略例子,指导要提供关于如何配置网 络元素和根据标准要求加密信息的详细资料与操 作方法,供负责实施解决方案的工程师参考,但 工程师可以选择其他更合适的方案实施
个组织的安全策略是有层次性的 个组织的所有人员和储存、传输与处理 信息的设备与系统构成了该组织的信息系 统,在这个信息系统的每一个层次上,包 括从管理层到硬件层的各个层次上,都需 要针对各层的具体问题做出安全性决策, 其中包括企事业级的安全决策,行政管理 方面的安全决策,硬件设备及其运行环境 的安全决策,操作系统与数据库系统的安 全决策等内容,安全策略是做出这些决策 的依据
一个组织的安全策略是有层次性的 • 一个组织的所有人员和储存、传输与处理 信息的设备与系统构成了该组织的信息系 统,在这个信息系统的每一个层次上,包 括从管理层到硬件层的各个层次上,都需 要针对各层的具体问题做出安全性决策, 其中包括企事业级的安全决策,行政管理 方面的安全决策,硬件设备及其运行环境 的安全决策,操作系统与数据库系统的安 全决策等内容,安全策略是做出这些决策 的依据
在同一组织内部的各层次安全策略之间必 须保持一致性,不能相互矛盾,并且是互 相依存的。例如,有关网络系统与计算机 设备的安全策略是受其组织最高层次策略 指导的,也取决于合适的软件与硬件系统 的支持。一般而言,低层次策略是由高层 次策略推出的,但策略是受实现机制约束 的,而实现机制又是受技术与经费限制的
• 在同一组织内部的各层次安全策略之间必 须保持一致性,不能相互矛盾,并且是互 相依存的。例如,有关网络系统与计算机 设备的安全策略是受其组织最高层次策略 指导的,也取决于合适的软件与硬件系统 的支持。一般而言,低层次策略是由高层 次策略推出的,但策略是受实现机制约束 的,而实现机制又是受技术与经费限制的
组织制定策略是为了让其成员及下级组织 了解如何行动,是各级管理者执行管理工 作的依据。如果发生了违反策略的情况 将会产生严肃处理的结果。例如,如果某 公司在关于电子邮件的策略中规定:在公 司的电子邮件系统中,职员不拥有隐私权, 所有电子邮件的所有权归公司所有并受到 监视。如果规定了这样的策略,公司就有 权监视职员往来的电子邮件,对违反策略 规定的职员可以进行纪律处分
• 组织制定策略是为了让其成员及下级组织 了解如何行动,是各级管理者执行管理工 作的依据。如果发生了违反策略的情况, 将会产生严肃处理的结果。例如,如果某 公司在关于电子邮件的策略中规定:在公 司的电子邮件系统中,职员不拥有隐私权, 所有电子邮件的所有权归公司所有并受到 监视。如果规定了这样的策略,公司就有 权监视职员往来的电子邮件,对违反策略 规定的职员可以进行纪律处分