基于ISO27001信息安全策略所做出的与安全相关的决定,应该提供一个高层次的原则性观点,在范围上是全面的。
ISO27001信息安全策略的制定者综合风险评估;信息对业务的重要性,考虑组织所遵从的安全标准,中小企业的ISO27001信息安全策略主要需要考虑以下具体策略:
1.使用策略——描述设备使用;计算机服务使用和内部员工安全规定;以保护企业的信息和资源安全;
2.加密策略——描述企业对数据加密的安全要求;
3.访问策略——定义访问权力,指定用户;工作团体和管理者可接受的使用准则,以便从失败或者泄密中保护资产;它应该提供指导性的原则,用以指导外部连接;数据通信;向网络中连接设备和向系统中添加新的软件;它还需要指明任何需要通知的信息;
4.职责策略——定义用户;工作团体和管理者的职责;它应该规定审计能力并提供事故处理准则(也就是说,如果检测到一个可能的入侵的话,需要做什么以及联系谁);
5.线路连接策略——描述诸例如传真发送和接收;模拟线路与计算机的连接;拨号连接等安全要求;
6.反病毒策略——给出有效减少计算机病毒对企业的信息安全威胁的一些指导方针,明确在哪些环节必须进行病毒检测;
7.审计策略——描述信息安全审计要求,包括审计小组的人员组成;权限;事故调查;信息安全风险估计;信息安全策略符合程度评价;对用户和系统活动进行监控等活动的要求;
8.敏感信息策略——对于组织的机密信息进行分级,按照它们的敏感度描述安全要求;
9.电子邮件使用策略——描述组织内部和外部电子邮件接收;传递的安全要求;
10.数据库策略——描述信息的存储;检索;更新等管理数据库数据的安全要求;
11.内部策略——描述对组织内部的各种活动信息安全的要求,使组织的产品;服务和利益受到充分保护;
12.互联网接入策略——定义在组织防火墙之外的设备和操作的安全要求;
13.远程访问策略——定义从组织外部计算机或者网络连接到组织内部网络进行外部访问的安全要求;
14.口令防护策略——定义创建;保护和改变口令的要求;
15.路由器安全策略——定义组织内部路由器与交换机的最低安全配置要求;
16.服务器安全策略——定义组织内部的服务器的最低安全配置要求
必须要意识到制定和落实信息安全策略是一个长期;艰苦的工作,需要付出艰苦的努力,并且由于牵扯到信息系统许多部门和绝大多数人员,可能需要改变工作方式和流程,所以推行起来的阻力会相当大;同时信息安全策略本身存在的缺陷,包括不切实可行,太过复杂和繁琐,部分规定有缺陷等等,都会导致整体策略难以落实!
如果您想咨询认证ISO27001信息安全体系认证,欢迎拨打我们服务热线13433933194,或登录颐卓咨询官网www.chinakec.com查询更多资讯留言>>感谢!!