這是一個(gè)關(guān)于信息系統(tǒng)安全策略PPT，主要介紹了信息安全策略概述、信息安全策略的制定、主要的安全策略、信息安全策略的執(zhí)行與維護(hù)等內(nèi)容。信息安全策略目錄一、信息安全策略概述 1.信息安全策略的定義計(jì)算機(jī)安全研究組織SANS：“為了保護(hù)存儲(chǔ)在計(jì)算機(jī)中的信息，安全策略要確定必須做什么，一個(gè)好的策略有足夠多‘做什么’的定義，以便于執(zhí)行者確定‘如何做’，并且能夠進(jìn)行度量和評(píng)估”。一組規(guī)則，這組規(guī)則描述了一個(gè)組織要實(shí)現(xiàn)的信息安全目標(biāo)和實(shí)現(xiàn)這些信息安全目標(biāo)的途徑。信息安全策略是一個(gè)組織關(guān)于信息安全的基本指導(dǎo)規(guī)則。信息安全策略提供：信息保護(hù)的內(nèi)容和目標(biāo)，信息保護(hù)的職責(zé)落實(shí)，實(shí)施信息保護(hù)的方法，事故的處理 信息安全方針信息安全方針就是組織的信息安全委員會(huì)或管理機(jī)構(gòu)制定的一個(gè)高層文件，是用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。信息安全的定義，總體目標(biāo)和范圍，安全對(duì)信息共享的重要性；管理層意圖、支持目標(biāo)和信息安全原則的闡述；信息安全控制的簡(jiǎn)要說(shuō)明，以及依從法律法規(guī)要求對(duì)組織的重要性；信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故等。安全程序安全程序是保障信息安全策略有效實(shí)施的、具體化的、過(guò)程性的措施，是信息安全策略從抽象到具體，從宏觀管理層落實(shí)到具體執(zhí)行層的重要一環(huán)，歡迎點(diǎn)擊下載信息系統(tǒng)安全策略PPT哦。

信息系統(tǒng)安全策略PPT是由紅軟PPT免費(fèi)下載網(wǎng)推薦的一款學(xué)校PPT類型的PowerPoint.

信息安全策略目錄一、信息安全策略概述 1.信息安全策略的定義計(jì)算機(jī)安全研究組織SANS：“為了保護(hù)存儲(chǔ)在計(jì)算機(jī)中的信息，安全策略要確定必須做什么，一個(gè)好的策略有足夠多‘做什么’的定義，以便于執(zhí)行者確定‘如何做’，并且能夠進(jìn)行度量和評(píng)估”。一組規(guī)則，這組規(guī)則描述了一個(gè)組織要實(shí)現(xiàn)的信息安全目標(biāo)和實(shí)現(xiàn)這些信息安全目標(biāo)的途徑。信息安全策略是一個(gè)組織關(guān)于信息安全的基本指導(dǎo)規(guī)則。信息安全策略提供：信息保護(hù)的內(nèi)容和目標(biāo)，信息保護(hù)的職責(zé)落實(shí)，實(shí)施信息保護(hù)的方法，事故的處理 信息安全方針信息安全方針就是組織的信息安全委員會(huì)或管理機(jī)構(gòu)制定的一個(gè)高層文件，是用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。信息安全的定義，總體目標(biāo)和范圍，安全對(duì)信息共享的重要性；管理層意圖、支持目標(biāo)和信息安全原則的闡述；信息安全控制的簡(jiǎn)要說(shuō)明，以及依從法律法規(guī)要求對(duì)組織的重要性；信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故等。安全程序安全程序是保障信息安全策略有效實(shí)施的、具體化的、過(guò)程性的措施，是信息安全策略從抽象到具體，從宏觀管理層落實(shí)到具體執(zhí)行層的重要一環(huán)。程序是為進(jìn)行某項(xiàng)活動(dòng)所規(guī)定的途徑或方法。信息安全管理程序包括：實(shí)施控制目標(biāo)與控制方式的安全控制程序；為覆蓋信息安全管理體系的管理與運(yùn)作的程序 2.信息安全策略的特點(diǎn)指導(dǎo)性原則性可審核性非技術(shù)性現(xiàn)實(shí)可行性動(dòng)態(tài)性文檔化 3.信息安全策略的地位必須有相應(yīng)的措施保證信息安全策略得到強(qiáng)制執(zhí)行管理層不得允許任何違反信息安全策略的行為存在信息安全策略必須有清晰和完全的文檔描述需要根據(jù)業(yè)務(wù)情況的變化不斷的修改和補(bǔ)充信息安全策略 4.功能信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。信息安全策略的保護(hù)對(duì)象 信息安全策略的設(shè)計(jì)范圍信息安全策略的設(shè)計(jì)范圍信息安全策略的設(shè)計(jì)范圍安全策略的格式 1.目標(biāo) 2.范圍 3.策略內(nèi)容 4.角色責(zé)任 5.執(zhí)行紀(jì)律 6.專業(yè)術(shù)語(yǔ) 7.版本歷史 安全策略的格式 1.目標(biāo) 建立信息系統(tǒng)安全的總體目標(biāo)，定義信息安全的管理結(jié)構(gòu)和提出對(duì)組織成員的安全要求 。 信息安全策略必須有一定的透明度并得到高層管理層的支持，這種透明度和高層支持必須在安全策略中有明確和積極的反映。 信息安全策略要對(duì)所有員工強(qiáng)調(diào)“信息安全，人人有責(zé)”的原則，使員工了解自己的安全責(zé)任與義務(wù)。 安全策略的格式 2.范圍 信息安全策略應(yīng)當(dāng)有足夠的范圍廣度，包括組織的所有信息資源、設(shè)施、硬件、軟件、信息、人員。在某些場(chǎng)合下，安全可以定義特殊的資產(chǎn)，比如：組織的主站點(diǎn)、各種重要裝置和大型系統(tǒng)。此外，還應(yīng)包括組織所有信息資源類型的綜述，例如，工作站、局域網(wǎng)、單機(jī)等。 安全策略的格式 3.策略內(nèi)容 根據(jù)ISO17799中定義，對(duì)信息安全策略的描述應(yīng)該集中在三個(gè)方面：機(jī)密性、完整性和可用性，這三種特性是組織建立信息安全策略的出發(fā)點(diǎn)。機(jī)密性是指信息只能由授權(quán)用戶訪問(wèn)，其他非授權(quán)用戶、或非授權(quán)方式不能訪問(wèn)。完整性就是保證信息必須是完整無(wú)缺的，信息不能被丟失、損壞，只能在授權(quán)方式下修改�？捎眯允侵甘跈�(quán)用戶在任何時(shí)候都可以訪問(wèn)其需要的信息，信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運(yùn)行。 安全策略的格式 3.策略內(nèi)容 根據(jù)給定的環(huán)境，應(yīng)當(dāng)給員工明確描述與這些特性相關(guān)的信息安全要求，組織的信息安全策略應(yīng)當(dāng)以員工熟悉的活動(dòng)、信息、術(shù)語(yǔ)等方式來(lái)反映特定環(huán)境下的安全目標(biāo)， 例如，組織在維護(hù)大型但機(jī)密性要求并不高的數(shù)據(jù)庫(kù)時(shí)，其安全目標(biāo)主要是減少錯(cuò)誤、數(shù)據(jù)丟失或數(shù)據(jù)破壞；如果組織對(duì)數(shù)據(jù)的機(jī)密性要求高時(shí)，安全目標(biāo)的重點(diǎn)就會(huì)轉(zhuǎn)移到防止數(shù)據(jù)的非授權(quán)泄露。 安全策略的格式 4.角色責(zé)任 信息安全策略除了要建立安全程序及程序管理職責(zé)外，還需要在組織中定義各種角色并分配責(zé)任，明確要求，比如：部分業(yè)務(wù)管理人員、應(yīng)用系統(tǒng)所有者、數(shù)據(jù)用戶、計(jì)算機(jī)系統(tǒng)安全小組等。 在某些情況下，信息安全策略中要理順組織中的各種個(gè)體與團(tuán)體的關(guān)系，以避免在履行各自的責(zé)任與義務(wù)時(shí)發(fā)生沖突。安全策略的格式 5.執(zhí)行紀(jì)律 沒有一個(gè)正式的、文件化的安全策略，管理層不可能制定出懲戒執(zhí)行標(biāo)準(zhǔn)與機(jī)制，信息安全策略是組織制定和執(zhí)行紀(jì)律措施的基礎(chǔ)。信息安全策略中應(yīng)當(dāng)描述與安全策略損害行為的類型與程度相對(duì)應(yīng)的懲戒辦法。還要考慮到有時(shí)員工違反安全策略并非是有意的，有時(shí)也可能是對(duì)安全策略缺乏必要的了解造成的。對(duì)于這種情況，信息安全策略要預(yù)先采取措施，在合理的期限內(nèi)，進(jìn)行相關(guān)安全策略介紹和安全意識(shí)教育培訓(xùn)。安全策略的格式 6.專業(yè)術(shù)語(yǔ) 對(duì)于信息安全策略中涉及的專業(yè)術(shù)語(yǔ)作必要的描述，使組織成員對(duì)策略的了解不會(huì)產(chǎn)生歧義。 7.版本歷史 對(duì)策略版本在各個(gè)階段的修訂情況作出說(shuō)明二、信息安全策略的制定 1.制定信息安全策略的原則 ①先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證 ②嚴(yán)格的安全管理是確保信息安全策略落實(shí)的基礎(chǔ) ③嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅(jiān)強(qiáng)后盾具體原則起點(diǎn)進(jìn)入原則 長(zhǎng)遠(yuǎn)安全預(yù)期原則最小特權(quán)原則公認(rèn)原則適度復(fù)雜與經(jīng)濟(jì)原則 2.策略的制定需要達(dá)成的目標(biāo)減少風(fēng)險(xiǎn)，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。 3.信息安全策略的依據(jù) ①國(guó)家法律、法規(guī)、政策 ②行業(yè)規(guī)范 ③相關(guān)機(jī)構(gòu)的約束 ④機(jī)構(gòu)自身的安全需求制定流程具體的制定過(guò)程如下： ①確定信息安全策略的范圍 ②風(fēng)險(xiǎn)評(píng)估/分析或者審計(jì) ③信息安全策略的審查、批準(zhǔn)和實(shí)施具體如下 制定流程制定流程制定流程制定流程制定流程制定流程信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動(dòng)制定。 在制定一整套信息安全策略時(shí)，應(yīng)當(dāng)參考一份近期的風(fēng)險(xiǎn)評(píng)估或信息審計(jì)，以便清楚了解組織當(dāng)前的信息安全需求。對(duì)曾出現(xiàn)的安全事件的總結(jié)，也是一份有價(jià)值的資料。為了確定哪些部分需要進(jìn)一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件。也可以參考國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來(lái)獲得指導(dǎo)。 資料收集階段的工作非常重要，很多時(shí)候因?yàn)楣ぷ髁亢蛯?shí)施難度被簡(jiǎn)化操作。制定流程在制定策略之前，對(duì)現(xiàn)狀進(jìn)行徹底調(diào)研的另一個(gè)作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對(duì)其完全支持。這一點(diǎn)不是針對(duì)信息安全體系結(jié)構(gòu)，而是針對(duì)信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實(shí)施、運(yùn)行。制定流程收集完上面所提到的材料后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿，并尋找直接相關(guān)人員對(duì)其進(jìn)行小范圍的評(píng)審。對(duì)反饋意見進(jìn)行修改后，逐漸的擴(kuò)大評(píng)審的范圍。當(dāng)所有的支持部門做出修改后，交由信息安全管理委員會(huì)評(píng)審。 信息安全策略的制定過(guò)程有很高的政策性和個(gè)性，反復(fù)的評(píng)審過(guò)程能夠讓策略更加清晰、簡(jiǎn)潔，更容易落地，為此在評(píng)審的過(guò)程中需要調(diào)動(dòng)參與積極性，而不是抵觸。制定流程評(píng)審過(guò)程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁(yè)以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。經(jīng)驗(yàn)表明，高層的支持對(duì)策略的實(shí)施落地是非常重要的。制定流程一般來(lái)說(shuō)，在信息安全策略文件評(píng)審過(guò)程中，會(huì)得到組織內(nèi)部各方多次評(píng)審和修訂，其中最為重要的是信息安全管理委員會(huì)。信息安全委員會(huì)一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計(jì)、物理安全、信息系統(tǒng)、人力資源、法律、財(cái)政和會(huì)計(jì)部。這樣一個(gè)委員會(huì)本質(zhì)上是監(jiān)督信息安全部門的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個(gè)組織內(nèi)更好的實(shí)施落地。組織的安全策略信息對(duì)組織的運(yùn)作和發(fā)展所起到的作用越來(lái)越大，信息安全問(wèn)題備受關(guān)注。信息安全是指信息的保密性、完整性和可用性的保持，其終極目標(biāo)是降低組織的業(yè)務(wù)風(fēng)險(xiǎn)，保持可持續(xù)發(fā)展；另外，信息安全問(wèn)題不單純是技術(shù)問(wèn)題，它是涉及很多方面（歷史、文化、道德、法律、管理、技術(shù)等）的一個(gè)綜合性問(wèn)題，單純從技術(shù)角度考慮是不可能得到很好解決的。我們?cè)谶@里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質(zhì)不足以直接改變所在國(guó)家或地區(qū)的信息安全法律法規(guī)。組織的安全策略 1.組織應(yīng)該有一個(gè)完整的信息安全策略我們可以通過(guò)下面一個(gè)例子來(lái)理解這種情況。某設(shè)計(jì)院有工作人員25人，每人一臺(tái)計(jì)算機(jī)，Windows 98對(duì)等網(wǎng)絡(luò)通過(guò)一臺(tái)集線器連接起來(lái)，公司沒有專門的IT管理員。公司辦公室都在二樓，同一樓房?jī)?nèi)還有多家公司，在一樓入口處趙大爺負(fù)責(zé)外來(lái)人員的登記，但是他經(jīng)常分辨不清楚是不是外來(lái)人員。設(shè)計(jì)院由市內(nèi)一家保潔公司負(fù)責(zé)樓道和辦公室的清潔工作�？偨�(jīng)理陳博士是位老設(shè)計(jì)師，他經(jīng)常撥號(hào)到Internet訪問(wèn)一些設(shè)計(jì)方面的信息，他的計(jì)算機(jī)上還安裝了代理軟件，其他人員可以通過(guò)這個(gè)代理軟件訪問(wèn)Internet。如果該設(shè)計(jì)院的信息安全管理停留在一種放任的狀態(tài)，會(huì)發(fā)生什么問(wèn)題呢？下列情況都是有可能的： 小偷順著一樓的防護(hù)欄潛入辦公室偷走了…… 保潔公司人員不小心弄臟了準(zhǔn)備發(fā)給客戶的設(shè)計(jì)方案；錯(cuò)把掉在地上的合同稿當(dāng)廢紙收走了；不小心碰掉了墻角的電源插銷…… 某設(shè)計(jì)師張先生是公司的骨干，他嫌公司提供的設(shè)計(jì)軟件版本太舊，自己安裝了盜版的新版本設(shè)計(jì)程序。盡管這個(gè)盜版程序使用一段時(shí)間就會(huì)發(fā)生莫名其妙的錯(cuò)誤導(dǎo)致程序關(guān)閉，可是張先生還是喜歡新版本的設(shè)計(jì)程序，并找到一些辦法避免錯(cuò)誤發(fā)生時(shí)丟失文件。 后來(lái)張先生離開設(shè)計(jì)院，新員工小李使用原來(lái)張先生的計(jì)算機(jī)。小李抱怨了多次計(jì)算機(jī)不正常，沒有人理會(huì)，最后決定自己重新安裝操作系統(tǒng)和應(yīng)用程序。小李把自己感覺重要的文件備份到陳博士的計(jì)算機(jī)上，聽朋友介紹Windows2000比較穩(wěn)定，他決定安裝Windows2000，于是他就重新給硬盤分區(qū)，成功完成了安裝。 陳博士對(duì)張先生的不辭而別沒有思想準(zhǔn)備，甚至還沒來(lái)得及交接一下張先生離開時(shí)正負(fù)責(zé)的幾個(gè)設(shè)計(jì)項(xiàng)目。這幾天他一閑下來(lái)就整理張先生的設(shè)計(jì)方案，可是突然一天提示登錄原來(lái)張先生的那臺(tái)計(jì)算機(jī)需要密碼了。小李并不熟悉Windows2000，只是說(shuō)自己并沒有設(shè)置密碼。 盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計(jì)算機(jī)上，可是陳博士沒有找到自己需要的文件。大家通過(guò)陳博士的計(jì)算機(jī)訪問(wèn)Internet，收集了很多有用的資料�？墒亲罱�好幾臺(tái)計(jì)算機(jī)在啟動(dòng)的時(shí)候就自動(dòng)連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個(gè)還沒有提交的設(shè)計(jì)稿，可是員工都說(shuō)沒有發(fā)過(guò)這樣的信。 …… 組織的安全策略一個(gè)正式的信息安全策略應(yīng)該包括下列信息適用范圍：包括人員和時(shí)間上的范圍。目標(biāo).例如防病毒策略的目標(biāo)可以是：“為了正確執(zhí)行對(duì)計(jì)算機(jī)病毒、蠕蟲、特洛伊木馬的預(yù)防、偵測(cè)和清除過(guò)程，特制定本策略”。策略主體。策略簽署。策略的生效時(shí)間和有效期（或者重新評(píng)審時(shí)間）。組織的安全策略一個(gè)正式的信息安全策略應(yīng)該包括下列信息重新評(píng)審策略的時(shí)機(jī)。策略除了常規(guī)的評(píng)審時(shí)機(jī)，在下列情況下也需要重新評(píng)審：管理體系發(fā)生很大變化、相關(guān)法律法規(guī)發(fā)生了變化、信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化、組織發(fā)生了重大的安全事故。與其他相關(guān)策略的引用關(guān)系。策略解釋、疑問(wèn)響應(yīng)的人員或者部門。策略的格式可以根據(jù)組織的慣例自行選擇，所列舉的項(xiàng)目也可以做適當(dāng)?shù)脑鰟h。例組織的安全策略信息安全策略的主體內(nèi)容信息安全策略通常不是一篇文檔，根據(jù)組織的復(fù)雜程度還可能分成幾個(gè)層次，其主題內(nèi)容各不相同。但是每個(gè)主題的策略都應(yīng)該簡(jiǎn)潔、清晰的闡明什么行為是組織所望的，提供足夠的信息，保證相關(guān)人員僅通過(guò)策略自身就可以判斷哪些策略內(nèi)容是和自己的工作環(huán)境相關(guān)的，是適用于哪些信息資產(chǎn)和處理過(guò)程的。組織的安全策略信息安全策略的主體內(nèi)容通常一個(gè)組織可能會(huì)考慮開發(fā)下列主題的信息安全策略： 1.  環(huán)境和設(shè)備的安全 2.  信息資產(chǎn)的分級(jí)和人員責(zé)任 3.  安全事故的報(bào)告與響應(yīng) 4.  第三方訪問(wèn)的安全性 5.  委外處理系統(tǒng)的安全 6.  人員的任用、培訓(xùn)和職責(zé) 7.  系統(tǒng)策劃、驗(yàn)收、使用和維護(hù)的安全要求組織的安全策略信息安全策略的主體內(nèi)容 8.  信息與軟件交換的安全 9.  計(jì)算級(jí)和網(wǎng)絡(luò)的訪問(wèn)控制和審核 10.遠(yuǎn)程工作的安全 11.加密技術(shù)控制 12.備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求 13.符合法律法規(guī)和技術(shù)指標(biāo)的要求組織的安全策略要衡量一個(gè)信息安全策略整體優(yōu)劣可以考慮的因素包括：目的性：策略是為組織完成自己的使命而制定的，策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求；適用性：策略應(yīng)該反映組織的真實(shí)環(huán)境，反映但前信息安全的發(fā)展水平；可行性：策略應(yīng)該具有切實(shí)可行性，其目標(biāo)應(yīng)該可以實(shí)現(xiàn)，并容易測(cè)量和審核。沒有可行性的策略不僅浪費(fèi)時(shí)間還會(huì)引起政策混亂；經(jīng)濟(jì)性：策略應(yīng)該經(jīng)濟(jì)合理，過(guò)分復(fù)雜和草率都是不可取的。完整性：能夠反映組織的所有業(yè)務(wù)流程安全需要； 組織的安全策略要衡量一個(gè)信息安全策略整體優(yōu)劣可以考慮的因素包括：一致性：策略的一致性包括下面三個(gè)層次：      和國(guó)家、地方的法律法規(guī)保持一致        和組織已有的策略（方針）保持一致        整體安全策略保持一致，要反映企業(yè)對(duì)信息安全一般看法，保證用戶不把該策略看成是不合理的，甚至是針對(duì)某個(gè)人的。彈性：策略不僅要滿足當(dāng)前的組織要求，還要滿足組織和環(huán)境在未來(lái)一段時(shí)間內(nèi)發(fā)展的要求。組織的安全策略如何使信息安全策略得到貫徹信息安全策略的實(shí)施關(guān)鍵是如何把策略準(zhǔn)確傳達(dá)給每一位相關(guān)人員。根據(jù)信息安全策略開發(fā)或者修改信息操作程序文件，即建立一個(gè)文件化的信息安全管理體系，在組織的相應(yīng)程序文件中體現(xiàn)策略的有關(guān)要求。能力和意識(shí)的培訓(xùn)是一種好方法，在組織缺乏程序文件的時(shí)候作用更是不可忽略。審核是策略得以實(shí)施的保障，組織必須有成文的審核辦法，詳細(xì)規(guī)定審核的周期和技術(shù)手段，及時(shí)發(fā)現(xiàn)問(wèn)題及時(shí)解決。三、主要的安全策略網(wǎng)絡(luò)服務(wù)器口令的管理（1）服務(wù)器的口令，由部門負(fù)責(zé)人和系統(tǒng)管理員商議確定，必須兩人同時(shí)在場(chǎng)設(shè)定。（2）服務(wù)器的口令需部門負(fù)責(zé)人在場(chǎng)時(shí)，由系統(tǒng)管理員記錄封存。（3）口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存。（4）如發(fā)現(xiàn)口令有泄密跡象，系統(tǒng)管理員要立刻報(bào)告部門負(fù)責(zé)人，有關(guān)部門負(fù)責(zé)人報(bào)告安全部門，同時(shí)，要盡量保護(hù)好現(xiàn)場(chǎng)并記錄，須接到上一級(jí)主管部門批示后再更換口令。用戶口令的管理（1）對(duì)于要求設(shè)定口令的用戶，由用戶方指定負(fù)責(zé)人與系統(tǒng)管理員商定口令，由系統(tǒng)管理員登記并請(qǐng)用戶負(fù)責(zé)人確認(rèn)（簽字或電話通知）之后系統(tǒng)管理員設(shè)定口令，并保存用戶檔案。 （2）在用戶由于責(zé)任人更換或忘記口令時(shí)要求查詢口令或要求更換口令的情況下，需向網(wǎng)絡(luò)服務(wù)管理部門提交申請(qǐng)單，由部門負(fù)責(zé)人或系統(tǒng)管理員核實(shí)后，對(duì)用戶檔案做更新記載。（3）如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負(fù)責(zé)保密和維護(hù)工作。防病毒策略（1）拒絕訪問(wèn)能力：來(lái)歷不明的入侵軟件不得進(jìn)入系統(tǒng)。（2）病毒檢測(cè)能力：系統(tǒng)中應(yīng)設(shè)置檢測(cè)病毒的機(jī)制。檢測(cè)已知類病毒和未知病毒。（3）控制病毒傳播的能力：系統(tǒng)一定要有控制病毒傳播的能力。 （4）清除能力：（5）恢復(fù)能力：提供高效的方法來(lái)恢復(fù)這些數(shù)據(jù)。（6）替代操作：系統(tǒng)應(yīng)該提供一種替代操作方案。在恢復(fù)系統(tǒng)時(shí)可用替代系統(tǒng)工作。安全教育與培訓(xùn)策略 （1）主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員：重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制定等。（2）負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員：重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。（3）用戶：重點(diǎn)是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。 可接受使用策略可接受使用策略（Acceptable Use Policy，AUP）是指這些網(wǎng)絡(luò)能夠被誰(shuí)使用的約束策略。AUPs的執(zhí)行是隨網(wǎng)絡(luò)變化的。許多公共網(wǎng)絡(luò)服務(wù)有一個(gè)AUP。這個(gè)AUP是一個(gè)正式的或非正式的文件，其定義了網(wǎng)絡(luò)的應(yīng)用意圖、不接受的使用和不服從的結(jié)果。一個(gè)人注冊(cè)一個(gè)基于網(wǎng)絡(luò)的服務(wù)或工作在一個(gè)社團(tuán)內(nèi)部網(wǎng)時(shí)經(jīng)常會(huì)遇到一個(gè)AUP。一個(gè)好的AUP 將包括網(wǎng)絡(luò)禮節(jié)的規(guī)定，限制網(wǎng)絡(luò)資源的使用和明確指出網(wǎng)絡(luò)應(yīng)該尊敬的成員的隱私，最好的AUPs使“what if”關(guān)一體化，其舉例說(shuō)明這個(gè)策略在現(xiàn)實(shí)世界協(xié)商中的作用。四、信息安全策略的執(zhí)行與維護(hù)信息安全策略的推進(jìn)手段 1）印刷日歷，強(qiáng)調(diào)每個(gè)月不同的策略，將它們張貼在辦公室中。 2）利用幽默和簡(jiǎn)單的語(yǔ)言表述信息安全策略，分發(fā)給每個(gè)雇員。 3）設(shè)立一些幾十分鐘的內(nèi)部培訓(xùn)課程。 4）進(jìn)行信息安全策略知識(shí)競(jìng)賽。 5）將信息安全策略和標(biāo)準(zhǔn)發(fā)布在內(nèi)部的網(wǎng)站上。 6）向公司員工發(fā)送宣傳信息安全策略的郵件。 7）建立內(nèi)部安全熱線，回答雇員關(guān)于信息安全策略的問(wèn)題。工具支持與信息安全策略管理有關(guān)的活動(dòng)很多，象配置管理，規(guī)則設(shè)置管理，口令管理，缺陷管理，補(bǔ)丁管理，用戶管理等等。為了減少信息安全策略維護(hù)中的勞動(dòng)，可以使用一些信息安全策略管理工具。 這方面工具有PWC ESAS，PoliVec、PentaSafe、Symantec等。策略實(shí)施的建議 在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略。制定自我評(píng)估調(diào)查表。 制定遵守信息安全策略的員工協(xié)議表。 建立考察機(jī)制檢查員工是否理解策略。 基礎(chǔ)信息安全培訓(xùn)課程。 分配策略落實(shí)負(fù)責(zé)人。通過(guò)標(biāo)準(zhǔn)保證策略的執(zhí)行 安全策略管理辦法安全策略管理相關(guān)技術(shù)安全策略管理相關(guān)技術(shù)第七章 運(yùn)行與操作安全管理信息安全策略的制定過(guò)程是怎樣的？信息安全策略管理有哪些相關(guān)技術(shù)？這些技術(shù)的功能和作用分別是什么？第七章 運(yùn)行與操作安全管理 The end，thank you!jGT紅軟基地

沃爾瑪信息系統(tǒng)ppt：這是沃爾瑪信息系統(tǒng)ppt，包括了公司簡(jiǎn)介，供應(yīng)鏈簡(jiǎn)介，沃爾瑪供應(yīng)鏈分析，顧客需求管理，供應(yīng)商和合作伙伴管理，企業(yè)內(nèi)和企業(yè)間物流配送系統(tǒng)管理，供應(yīng)鏈交互信 息管理等內(nèi)容，歡迎點(diǎn)擊下載。

人力資源管理信息系統(tǒng)ppt：這是人力資源管理信息系統(tǒng)ppt，包括了人力資源管理信息系統(tǒng)概述，人力資源信息系統(tǒng)需求分析，數(shù)據(jù)庫(kù)、關(guān)鍵業(yè)務(wù)模塊設(shè)計(jì)，人力資源信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)等內(nèi)容，歡迎點(diǎn)擊下載。

勞頓管理信息系統(tǒng)ppt：這是勞頓管理信息系統(tǒng)ppt，包括了學(xué)習(xí)目標(biāo)，開篇案例，信息技術(shù)投資，當(dāng)今商業(yè)中信息系統(tǒng)扮演的角色，組織和信息系統(tǒng)相互依存，數(shù)據(jù)和信息，信息系統(tǒng)的觀點(diǎn)等內(nèi)容，歡迎點(diǎn)擊下載。