【正文】 針對特定系統的具體策略，更為具體化和詳細化，闡明了特定系統與信息安全有關的使用和維護規(guī)則等內容，如防火墻配置策略、電子郵件安全策略等等。 闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強制要求、角色、責任的認定等內容，例如：針對 Inter訪問操作、計算機和網絡病毒防治、口令的使用和管理等特定問題，制定用針對性的安全策略。 闡述指導性的戰(zhàn)略綱領文件，闡明了企業(yè)對與信息安全的看法和立場、信息安全的目標和戰(zhàn)略、信息安全所涉及的范圍、管理組織架構和責任認定以及對與信息資產的管理辦法等內容。 針對特定問題的具體策略167。 一個合理的信息安全策略體系包括 三個不同層次的策略文檔：167。 面對日趨嚴重的網絡犯罪，必須建立與網絡安全相關的法律、法規(guī)，使非法分子不會輕易發(fā)動攻擊。 各計算機使用機構、企業(yè)和單位應建立相應的網絡安全管理辦法，加強內部管理，建立合適的網絡安全管理系統，加強用戶管理和授權管理，建立安全審計和跟蹤體系，提高整體網絡安全意識。 用戶對自身面臨的威脅進行風險評估，決定其所需的安全服務種類，選擇相應的安全機制，然后集成先進的安全技術，形成一個全方位的安全系統。 嚴格的管理是確保信息安全策略落實的基礎167。 制定信息安全策略的原則：167。 風險評估 /分析或者審計167。2/2/2023 102信息 安全管理信息安全策略開發(fā)流程167。 當企業(yè)為政府或機關工作或與其合作時，一份安全策略應該是首先引起注意的事項；167。 發(fā)生安全事故制定安全策略時，不要把重點放在攻破的地方，要從全局考慮安全問題；167。167。 保險公司不愿向沒有信息安全策略的企業(yè)投保；167。 理想情況下，制定信息安全策略的最佳時間是在發(fā)生第一起網絡安全事故之前。遵循安全策略的信息系統建設和管理將會形成一個統一的有機整體，使得系統具有更好的安全性。安全策略必須遵循三個基本原則：確定性、完整性和有效性。 五、信息安全策略的執(zhí)行和維護2/2/2023 96信息 安全管理安全策略包括：? 總體方針 ，指導性的戰(zhàn)略綱領文件，闡明了企業(yè)對于信息安全的看法和立場、信息安全的目標和戰(zhàn)略、信息安全所涉及的范圍、管理組織構架和責任認定、以及對于信息資產的管理辦法等內容? 針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強制要求、角色、責任認定等內容? 針對特定系統的具體策略，更為具體和細化，闡明了特定系統與信息安全有關的使用和維護規(guī)則等內容2/2/2023 97信息 安全管理安全策略的特點：? 力求全面和明確，不必過于具體和深入? 需要一個逐漸完善的過程，不可能一蹴而就? 應當保持適當的穩(wěn)定性2/2/2023 98信息 安全管理信息安全策略定義 信息安全策略 是一組經過高級管理層批準，正式發(fā)布和實施的綱領性文件，描述了一個企業(yè)、組織的高層安全目標，它描述應該做什么，而不是如何去做，一份信息安全策略就像是一份工程管理計劃書，這意味著它隱藏了執(zhí)行的細節(jié)。 三、確定信息安全策略保護的對象167。 一、信息安全策略概述167。2/2/2023 94信息 安全管理 CobiT 信息及相關技術控制目標（ Control Objectives for Information and related Technology,CobiT）是由美國信息系統審計與控制協會針對 IT過程管理制定的一套基于最佳實踐的控制目標，是目前國際上公認的最先進、最權威的安全與信息技術管理和控制標準。2/2/2023 93信息 安全管理 NIST SP 800系列 美國國家標準技術委員會（ NIST）發(fā)布的Special Publication 800文檔是一系列針對信息安全技術和管理領域的實踐參考指南。 （ 2） ISO/IEC DIS 21827信息技術 — 系統安全工程 — 能力成熟度模型 （ 3） SSECMM將系統安全工程成熟度劃分為 5個等級 （ 4） SSECMM可以作為評估工程實施組織（如安全服務提供商）能力與資質的標準。 （ 2）對信息安全風險及其構成要素間關系的描述非常具體，對風險評估方法過程的描述很清晰，可用來指導實施。 （ 4）與 BS7799標準相比， CC的側重點放在系統和產品的技術指標評價上；組織在依照 BS7799標準來實施 ISMS時，一些牽涉系統和產品安全的技術要求，可以借鑒 CC標準。 （ 2） CC、 ISO/IEC1540 GB/T18336是同一個標準。 復查、維護與持續(xù)改進BS77992/ISO 270012/2/2023 89信息 安全管理二、其他標準 PD3000 BS7799標準本身是不具有很強的可實施性的，為了指導組織更好地建立 ISMS并應對 BS7799認證審核的要求，BSIDISC提供了一組有針對性的指導文件，即 PD3000系列。 明確管理職責167。 制訂安全策略167。 ISMS管理和操作規(guī)程167。 適用性聲明167。 確保改進成果滿足預期目標BS77992/ISO 270012/2/2023 87信息 安全管理強調文檔化管理的重要作用，文檔體系包括167。 對 ISMS實施可識別的改進167。 定期進行 ISMS內部審計167。 實施監(jiān)視程序和控制167。 實施安全意識和安全教育培訓167。 制訂并實施風險處理計劃167。 準備適用性說明167。 識別和評估風險167。 BSI提供依據 BS77992所建立 ISMS的認證BS77992/ISO 270012/2/2023 83信息 安全管理 建立 ISMS（ PLAN）167。 說明了建立、實施、維護，并持續(xù)改進 ISMS的要求167。BS77991(ISO/IEC17799)2/2/2023 82信息 安全管理167。BS77991(ISO/IEC17799)2/2/2023 80信息 安全管理與最佳實踐相關的控制措施：（ 1）信息安全策略文件：高管批準發(fā)布信息安全策略文件，并廣泛告知；（ 2）信息安全責任的分配：清晰地所有的信息安全責任；（ 3）信息安全意識、教育和培訓：全體員工及相關人員應該接受恰當的意識培訓 ；BS77991(ISO/IEC17799)2/2/2023 81信息 安全管理（ 4）正確處理應用程序：防止應用程序中的信息出錯、丟失或被非授權篡改及誤用；（ 5）漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞；（ 6）管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件。 133項控制措施未必全面，可以根據實際情況進行增補。 對控制措施的描述不夠細致，導致缺乏可操作性；167。 符合性管理 ：符合法律法規(guī)，符合安全策略等。167。 信息系統獲取、開發(fā)與維護 ：安全需求分析，安全機制設計（應用系統安全，密碼控制，系統文件安全），開發(fā)和支持過程的安全控制167。 通信與操作管理 ：包括操作程序和責任，系統規(guī)劃和驗收，防范惡意軟件，內務管理，網絡管理，介質安全管理，信息與軟件交換安全167。BS77991(ISO/IEC17799)2/2/2023 76信息 安全管理167。 資產管理 ：包括建立資產清單、進行信息分類與分級167。 組織安全 ：包括在組織內建立發(fā)起和控制信息安全實施的管理框架；維護被外部伙伴訪問、處理和管理的組織的信息，處理設施和信息資產的安全。 安全策略 ：包括信息安全策略文件和信息安全策略復查。 *BS77992:《信息安全管理體系規(guī)范》 詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施組織需要通過風險評估來鑒定最適宜的控制對象，并根據自己的需求采取適當的安全控制。167。 2023年 6月， ISO/IEC 17799:2023經過改版，形成了新的 ISO/IEC 17799:2023,同年 10月推出了 ISO/IEC 27001:2023167。 2023年 BSI對 BS 77992： 1999進行了重新修訂，正式引入 PDCA過程模型；167。 1999年 4月， BS 7799的兩個部分被修訂，形成了完整的 BS 77991:1999167。 1995年， BS 7799 1:1995《信息安全管理實施細則》首次發(fā)布167。 BS 7799最初由英國貿工部立項，是業(yè)界、政府和商業(yè)機構共同倡導的，旨在開發(fā)一套可供開發(fā)、實施和衡量有效信息安全管理實踐的通用框架。 第二部分：被國際標準化組織 ISO采納成為 ISO/IEC 20231:2023標準的部分，是建立信息安全管理體系（ ISMS）的一套規(guī)范（Specification for Information Security Management Systems ） ,其中詳細說明了建立、實施和維護信息安全管理體系的要求，可以用來指導相關人員應用 ISO/IEC 17799:2023,其最終目的在于建立適合企業(yè)需要的信息安全管理體系。 第一部分：被國際標準化組織 ISO采納成為 ISO/IEC 17799:2023標準的部分，是信息安全管理實施細則（ Code of Practice for Information Security Management），主要供負責信息安全系統開發(fā)的人員參考使用，其主要內容分為 11方面，提供了 133項安全控制措施（最佳實踐）。167。 BS 7799概述：167。 一、 BS 7799167。這兩個信息安全管理類體現了信息系統和信息安全工作的生命周期特性。2/2/2023 68信息 安全管理12項信息安全管理類的作用關系167。 根據方針與策略，由人員與組織實施信息安全管理工作。特別是對于國家法律法規(guī)，方針政策和標準符合程度的檢驗。2/2/2023 66信息 安全管理12項信息安全管理類的作用關系167。2/2/2023 65信息 安全管理12項信息安全管理類的作用關系167。2/2/2023 64信息 安全管理12項信息安全管理類的作用關系167。2/2/2023 63信息 安全管理合規(guī)性管理167。2/2/2023 62信息 安全管理業(yè)務連續(xù)性管理167。2/2/2023 61信息 安全管理運行維護管理167。2/2/2023 60信息 安全管理項目工程管理167。2/2/2023 59信息 安全管理數據 /文檔 /介質管理167。2/2/2023 58信息 安全管理應用與業(yè)務管理167。2/2/2023 57信息 安全管理主機與系統管理167。2/2/2023 56信息 安全管理網絡與通信安全167。 控制由于物理環(huán)境和硬件設施的不當所產生的風險。 建立組織機構，明確人員崗位職責，提供安全教育和培訓，對第三方人員進行管理，協調信息安全監(jiān)管部門與行內其他部門之間的關系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯誤產生信息安全風險。信息安全體系建設的目標就是把風險控制在可以接受的范圍之內，風險管理同時也是一個動態(tài)持續(xù)的過程。 信息安全建設不是避免風險的過程，而是管理風險的過程。 確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以實現對信息安全工作的支持和承諾，保證信息安全的資金投入。 1業(yè)務連續(xù)性管理167。 項目工程管理167。 應用于業(yè)務管理167。 網絡與通信管理167。 人員與組織管理167。 方針與策略管理167。 需要考慮的審核內容包括： 法律和法規(guī)、內部的方針和制度、技術標準以及其他需要遵循的各種范圍要求。 符合性審核是確保整體管理工作有效實施的重要管理過程。它是一個 全盤的管理過程 ，重在識別潛在的影響，建立整體的恢復能力和順應能力，在危機或災害發(fā)生時保護信息系統所有者的聲譽和利益。2/2/2023 48信息 安全管理業(yè)務連續(xù)性管理167。167。 脆弱性評估 — 評估防護措施的效力和存在的脆弱性167。 資產鑒別、分類和評價167。信息安全風險管理是整體風險管理的一個有機組成部分，是其在信息化領域的具體體現。2/2/2023 47信息 安全管理風險管理167。但是新的技術和方法可能帶來新的風險，甚至一些風險在該技術沒有得到廣泛應用和成熟化之前很難被發(fā)現。因此，對于新技術和新方法要不斷跟蹤，并有計劃地將新技術和新方法應用到業(yè)務系統中。2/2/2023 46信息 安全管理新技術、新方法的跟蹤和采用167。只有將各種管理辦法、管理過程、管理要求等通過文檔的形式明確下來，才能保證信息安全管理工作進一步得到落實和貫徹。2/2/2023 45信息 安全管理文檔化和流程規(guī)范化167。 變更管理 ：人員、設備、流程等各個方面的變化，都可能導致信息安全風險的變化，因此，要對信息系統中重要的變更進行管理。 配置管理 ： 從信息安全管理的角度看，應當對被保護的資產以及相應的保護措施進行配置描述，并應當對各個配置描述進行持續(xù)的跟蹤管理。在信息安全管理中，這兩方面管理的作用尤為突出。2/2/2023 44信息 安全管理配置管理和變更管理167。 一個信息系統及其信息安全系統建設完成后，其安全工作并沒有結束。因此，對于一個信息系統，不應當在系統建設完成后再考慮信息安全問題，而應當從系統建設的初期開始，在建設的整個過程中