1铭记初心,实现自我安全策略概述•什么是安全策略?•安全策略有些什么特性?•常见的安全策略有哪些?安全策略是高级管理层(或是选定的董事会和委员会)制定的一个全面声明,它规定安全在组织内所扮演的角色。安全策略可以是组织化策略,也可以是针对特定问题的策略或针对系统的策略。在组织化安全策略中,管理层规定了应该如何建立安全计划,制定安全计划的目标,分配责任,说明安全的战略和战术价值,并且概述了应该如何执行安全计划。这种策略必须涉及相关法律、规章、责任以及如何遵守这些规定。组织化安全策略为组织内部未来的所有安全活动提供了范围和方向,还说明了高级管理层愿意接受多大的风险。安全策略具有一些必须理解和实现的重要特征:•业务目标应促进策略的制定、实现和执行。该策略应当不规定业务目标。•组织化安全策略应当是一份易于理解的文档,为管理层和所有员工提供参考。•应当开发和用于将安全整合到所有业务功能和过程中。•应当源于并支持适用于公司的所有法律法规。•应当随公司的发展变化(如采用新的商业模式、与其他公司合并或者所有权发生变更)进行审核和修订。•组织化安全策略的每次更迭都应当注明日期并在版本控制下进行。•受该策略监管的部门和个人必须能够查看适用于他们的策略内容,并2且不必阅读整个策略材料就能找到指导和答案。•制定策略应以该策略一次性能够使用儿年为目的。这将有助于确保策略具有足够的前瞻性,从而能够处理将来的安全环境中可能出现的任何潜在变化。•策略表述的专业水平能够强化其重要性以及遵守的必要性。•策略中不应包含任何人都无法理解的语言。必须使用清楚的、易于理解和接受的陈述性声明。•定期对策略进行审核,并根据自上一次审核和修订以来发生的事故加以改编。常见的安全策略:•风险管理策略•脆弱性管理策略•数据保护策略•访问控制策略•业务连续性策略•日志聚集和审计策略•人员安全策略•物理安全策略•安全应用程序开发策略•变更控制策略•电子邮件策略•事件响应策略2铭记初心,实现自我安全策略的分层•战略目标安全策略|安全方针•战术目标标准基线指南详细措施安全策略战略目标强制标准推荐指导原则详细措施战术目标标准指强制性的活动、动作或规则,它可以为策略提供方向上的支持和实施。“基线”可以指一个用于在将来变更时进行比较的时间点。只要风险得到缓解,而且实现了安全策略,就可以对基线进行正式审核并达成一致意见,之后再进...
