策略、标准及指导制定出来并正式核准执 后,应该通过宣传培训让组织的所有员 工都能了解并遵照执行。策略能否得到最 终落实,取决于组织领导者的决心和管理 团队能否持久坚持。如果没有管理部门的 支持或管理工作松懈,安全策略就是形同 虚设。如果安全策略能得到每个人的理解 与执行,就可以使组织内部的安全态势处 于良好状态
• 策略、标准及指导制定出来并正式核准执 行后,应该通过宣传培训让组织的所有员 工都能了解并遵照执行。策略能否得到最 终落实,取决于组织领导者的决心和管理 团队能否持久坚持。如果没有管理部门的 支持或管理工作松懈,安全策略就是形同 虚设。如果安全策略能得到每个人的理解 与执行,就可以使组织内部的安全态势处 于良好状态
6.1.1.2策略的设计方法 策略文档的组成 标准文档的组成 指导文档的组成 个组织的安全策略涵盖的范围 策略制定的过程
6.1.1.2 策略的设计方法 • 策略文档的组成 • 标准文档的组成 • 指导文档的组成 • 一个组织的安全策略涵盖的范围 • 策略制定的过程
策略应该是简单扼要的,其含义应该是明 晰的和无二义性的。 需要有经验丰富的安全专家和组织的负责 人与安全管理人员共同参与。 在创建策略、标准与指导时,必须在安全 性与管理业务的能力之间进行平衡,同时 还需要在安全性与所需的投资费用之间做 出适当的平衡
• 策略应该是简单扼要的,其含义应该是明 晰的和无二义性的。 • 需要有经验丰富的安全专家和组织的负责 人与安全管理人员共同参与。 • 在创建策略、标准与指导时,必须在安全 性与管理业务的能力之间进行平衡,同时 还需要在安全性与所需的投资费用之间做 出适当的平衡
保持平衡的原则是:依据策略、标准与指 导的要求,对资产实施的保护费用必须与 被保护对象的商业价值相匹配。 为了能够制定出合乎要求和全面的安全策 略,需要了解策略、标准和指导文档的组 成要素
• 保持平衡的原则是:依据策略、标准与指 导的要求,对资产实施的保护费用必须与 被保护对象的商业价值相匹配。 • 为了能够制定出合乎要求和全面的安全策 略,需要了解策略、标准和指导文档的组 成要素
、策略文档的组成 在策略的描述中都应该声眀该策略的目的 适用范围、有关说明、效能、例外情况以 及不遵从的后果等。策略中的某些要素对 所有策略都是通用的,甚至是必需的。为 了使策略能够被准确应用,需要以一种易 于理解与操作的方式构造它们。信息安全 策略的文档中应该包括以下一些主要组成 部分:
一、策略文档的组成 • 在策略的描述中都应该声明该策略的目的、 适用范围、有关说明、效能、例外情况以 及不遵从的后果等。策略中的某些要素对 所有策略都是通用的,甚至是必需的。为 了使策略能够被准确应用,需要以一种易 于理解与操作的方式构造它们。信息安全 策略的文档中应该包括以下一些主要组成 部分: