前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全方針和策略范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

信息安全方針和策略范文第1篇

論文關(guān)鍵詞:信息安全外包風(fēng)險管理

論文摘要:文章首先分析了信息安全外包存在的風(fēng)險，根據(jù)風(fēng)險提出信息安全外包的管理框架，并以此框架為基礎(chǔ)詳細探討了信息安全外包風(fēng)險與管理的具體實施。文章以期時信息安全外包的風(fēng)險進行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風(fēng)險

1.1信任風(fēng)險

企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系，仍是決定時候?qū)踩?wù)外包的一個重要因素。因為信息安全的外包商可以訪問到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業(yè)造成巨大的損害。并且，如若企業(yè)無法信任外包商，不對外包商提供一些關(guān)鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導(dǎo)致某些環(huán)節(jié)的失效，這也會對服務(wù)質(zhì)量造成影響。因此，信任是雙方合作的基礎(chǔ)，也是很大程度上風(fēng)險規(guī)避的重點內(nèi)容。

1.2依賴風(fēng)險

企業(yè)很容易對某個信息安全服務(wù)的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當(dāng)?shù)娘L(fēng)險緩釋方法是將安全服務(wù)外包給多個服務(wù)外包商，但相應(yīng)地會加大支出并造成管理上的困難，企業(yè)將失去三種靈活性:第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時的應(yīng)變能力;第二種是適應(yīng)能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力，再造能力即包括了信息技術(shù);第三種靈活性就是進化性，其本質(zhì)是中期到長期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時期。進化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準(zhǔn)確預(yù)測和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權(quán)風(fēng)險

不管外包商提供服務(wù)的范圍如何，企業(yè)都對基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé)，并且其服務(wù)級別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險緩釋方法是讓包括員工和管理的各個級別的相關(guān)人員意識到，應(yīng)該將信息安全作為其首要責(zé)任，并進行安全培訓(xùn)課程，增強常規(guī)企業(yè)的安全意識。

1.4共享環(huán)境風(fēng)臉

信息安全服務(wù)的外包商使用的向多個企業(yè)提供服務(wù)的操作環(huán)境要比單獨的機構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險，因為共享的操作環(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器)，這將會增加一個企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風(fēng)險。

1.5實施過程風(fēng)險

啟動一個可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商，或者一個服務(wù)外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡，這一切都可能引起新的風(fēng)險。企業(yè)應(yīng)該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風(fēng)險的時間期限做出了限制。

1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險

如果企業(yè)和服務(wù)商的合作關(guān)系失敗，企業(yè)將面臨極大的風(fēng)險。合作關(guān)系失敗帶來的經(jīng)濟損失、時間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時還需要合作關(guān)系雙方進行頻繁的溝通。

2信息安全外包的管理框架

要進行成功的信息安全外包活動，就要建立起一個完善的管理框架，這對于企業(yè)實施和管理外包活動，協(xié)調(diào)與外包商的關(guān)系，最大可能降低外包風(fēng)險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn)，然后是對企業(yè)遭受的風(fēng)險進行系統(tǒng)的評估.并根據(jù)方針和風(fēng)險程度.決定風(fēng)險管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu)，同時加強管理與外包商的關(guān)系。

3信息安全外包風(fēng)險管理的實施

3.1制定信息安全方針

信息安全方針在很多時候又稱為信息安全策略，信息安全方針指的是在一個企業(yè)內(nèi)，指導(dǎo)如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義，定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡要說明，以及遵守這些原則和標(biāo)準(zhǔn)對企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對企業(yè)的各個部門的安全職能給出概括性的定義，而具體的信息安全保護的責(zé)任細節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來闡明。

3.2選擇信息安全管理的標(biāo)準(zhǔn)

信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):

(1)BS7799:BS7799標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會指定的信息安全管理標(biāo)準(zhǔn)，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規(guī)范》。

(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個部分，分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計劃部分;信息技術(shù)安全的技術(shù)管理部分;防護和選擇部分以及外部連接的防護部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實物場所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風(fēng)險的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個適合其安全要求的風(fēng)險評估和風(fēng)險管理方案，然后進行合乎規(guī)范的評估，識別目前面臨的風(fēng)險。企業(yè)可以定期的選擇對服務(wù)外包商的站點和服務(wù)進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業(yè)獨立評估方評估權(quán)限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進一步消息和細節(jié)，以減少任何對可用性，服務(wù)程度，客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計劃程序以應(yīng)對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存，企業(yè)將這些文檔作為評估的重要工具，對外包商的服務(wù)績效進行考核。評估結(jié)束后，對事件解決方案和優(yōu)先級的檢查都將記錄在相應(yīng)的文件中，以便今后雙方在服務(wù)和信息安全管理上進行改進。

3.4制定信息安全外包服務(wù)的控制規(guī)則

依照信息安全外包服務(wù)的控制規(guī)則，主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架，主要闡明信息安全服務(wù)要如何執(zhí)行，執(zhí)行的通用標(biāo)準(zhǔn)和量度，服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求，這個部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級別;報告要求，服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求，包括安全策略、程序和規(guī)章制度;連續(xù)計劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計;事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:

(1)首席安全官:CSO是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進行工作匯報，主要包括:首席執(zhí)行官、首席運營官、首席財務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項安全措施在公司的執(zhí)行情況，并確定安全工作的標(biāo)準(zhǔn)和主動性，包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進行信息安全的技術(shù)。

(3)管理委員會:這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機構(gòu)。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的CIO和CSO，外包商的項目經(jīng)理等相關(guān)的高層決策人員。這個委員會每年召開一次會議，負責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評估結(jié)果、關(guān)系變化等內(nèi)容。

(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務(wù)水平的變更，新的技術(shù)手段的應(yīng)用，服務(wù)優(yōu)先等級的更換以及服務(wù)的財政問題等，咨詢委員會的成員包括企業(yè)內(nèi)部的TI’人員和安全專員，還有財務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員，以及外包商的具體項目的負責(zé)人。

(6)安全工作組:安全工作組的人員主要負責(zé)解決信息安全中某些特定的問題，工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。

(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負責(zé)聯(lián)絡(luò)各個業(yè)務(wù)部門，發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。

（8）指令問題管理小組:這個小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個業(yè)務(wù)部門的負責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后，或者，是當(dāng)CSO了關(guān)于信息安全的企業(yè)改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經(jīng)過學(xué)習(xí)討論后，繼而將其到各個業(yè)務(wù)部門。

(9)監(jiān)督委員會:這個委員會全部由企業(yè)內(nèi)部人員組成。負責(zé)對外包商的服務(wù)過程的監(jiān)督。

信息安全方針和策略范文第2篇

關(guān)鍵詞：

校園網(wǎng)安全系統(tǒng)的建設(shè)目標(biāo)是根據(jù)學(xué)校信息網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，針對可能存在的安全漏洞和安全需求，在不同層次上提出安全級別要求，并提出相應(yīng)的解決方案，制訂相應(yīng)的安全策略，編制安全規(guī)劃，采用合理、先進的技術(shù)實施安全工程，加強安全管理，保證系統(tǒng)的安全性。

對于這樣規(guī)模龐大、結(jié)構(gòu)復(fù)雜、涉及人員眾多的網(wǎng)絡(luò)體系需要建立全網(wǎng)安全保障系統(tǒng)，針對不同的業(yè)務(wù)特征進行合理的安全保障，確保業(yè)務(wù)系統(tǒng)的安全運行。

我們在設(shè)計學(xué)校信息安全保障體系的過程中，借鑒IATF的信息安全保障體系模型構(gòu)建學(xué)校信息安全保障體系的技術(shù)體系和管理體系，這些體系構(gòu)成學(xué)校所需的安全體系。在技術(shù)體系和管理體系中的安全控制和對策的選擇和定制中，采用“最佳實施”方法，通過列舉滿足實際需求和實際應(yīng)用來構(gòu)造安全保障體系。

在學(xué)校安全保障體系設(shè)計過程中，整體性一直是最核心的問題，因此為了保障安全體系具有一定的完整性，避免對安全問題的遺漏，需要在方法論中引入了安全框架模型。

安全保障體系框架示意圖

上圖中，最下層是安全體系要保護的對象，根據(jù)信息資產(chǎn)邏輯圖，將保護對象分成計算區(qū)域、區(qū)域邊界、通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施（指PKI/PMI/KMI中心和應(yīng)急響應(yīng)中心）等。計算區(qū)域部分主要指提供業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)，計算區(qū)域內(nèi)部可以根據(jù)學(xué)校信息化的實際需求進一步細分為子區(qū)域，邊界和通信網(wǎng)絡(luò)。對不同區(qū)域、邊界和通信網(wǎng)絡(luò)，其安全需求是不同的。保護對象框架將學(xué)校信息系統(tǒng)的安全問題細分為一組結(jié)構(gòu)化的安全需求。

通過將對策框架中的所有安全控制中的策略，組織，技術(shù)和運作分別提煉，組成相應(yīng)的策略體系、組織體系、技術(shù)體系和運作體系。每個體系由對策框架組成，對策框架由一組安全控制組成，這些安全控制是根據(jù)保護對象中的安全需求設(shè)計和選擇出來的。每一條安全控制都包含策略，組織，技術(shù)和運作四個要素。

在校園網(wǎng)的信息系統(tǒng)安全等級保護方面，國內(nèi)尚未制定相關(guān)標(biāo)準(zhǔn)，但可以參考公安部制定的《信息系統(tǒng)安全等級保護基本要求》進行設(shè)計?；景踩蠓譃榛炯夹g(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。

基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全幾個層面提出；基本管理要求從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理幾個方面提出，基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個部分。

根據(jù)公安部《信息系統(tǒng)等級保護技術(shù)要求》中相應(yīng)技術(shù)要求，以滿足物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及存?zhèn)浞莼謴?fù)等幾方面的基本要求為前提。

在基于人、技術(shù)及運行的信息安全縱深防御體系中，對人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架，該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標(biāo)準(zhǔn)與規(guī)范、安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)、安全培訓(xùn)以及安全規(guī)范。

安全管理體系框架圖

安全策略作為建立安全機制必須首要考慮的核心，它對安全措施的具體實踐提供指導(dǎo)和支持。制定一套系統(tǒng)、科學(xué)的安全策略是指導(dǎo)學(xué)校等級化信息安全保障體系安全建設(shè)的重要內(nèi)容。

建立安全組織機構(gòu)、完善安全管理制度，建立有效的工作機制，做到事有人管，職責(zé)分工明確是有效防范由于內(nèi)部人員有意無意對系統(tǒng)造成破壞的有效保障措施。

在組織安全方針、安全策略、安全制度與管理方法、安全標(biāo)準(zhǔn)與規(guī)范的建設(shè)過程中充分體現(xiàn)國家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)是組織充分保障信息系統(tǒng)安全的基礎(chǔ)。國家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)從國家和行業(yè)的角度制約信息安全，組織必須遵循國家和相關(guān)主管部門關(guān)于信息系統(tǒng)安全方面的法律法規(guī)、政策和制度。

對內(nèi)部人員進行有組織的安全培訓(xùn)、安全教育，規(guī)范人員行為、制定相關(guān)章程等對保障學(xué)校信息系統(tǒng)安全尤為重要。

信息安全方針和策略范文第3篇

關(guān)鍵詞：信息安全；管理體系；ISMS

中圖分類號：TP315　文獻標(biāo)識碼：A　文章編號：1009-8631(2010)05-0171-02

一、概述

當(dāng)前，信息資源的開發(fā)和利用，已成為信息化建設(shè)的核心。信息作為一種重要的資產(chǎn)，已成為大家的共識。其一旦損毀、丟失、或被不失當(dāng)?shù)仄毓?。將會給組織帶來一系列損失。這些損失是我們不愿意面對的。因此信息安全越來越成為大家關(guān)注的熱點問題。前國家科技部部長徐冠華曾經(jīng)指出：“沒有信息安全保障的信息工程一定是豆腐渣工程”。

所謂信息安全，是針對技術(shù)和管理來說的，為信息處理體統(tǒng)提供安全保護，保護計算機軟硬件及信息內(nèi)容不因偶然意外和惡意的原因而遭到破壞、更改和泄漏。信息安全包括實體安全、運行安全、信息(針對信息內(nèi)容)安全和管理安全四個方面：

1)實體安全是指保護計算機設(shè)備、網(wǎng)絡(luò)設(shè)施以及其他通信與存儲介質(zhì)免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施、過程。

2)運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)。提供一套安全措施(如風(fēng)險分析、審計跟蹤、備份與恢復(fù)、應(yīng)急措施)來保護信息處理過程的安全。

3)信息安全是指防止信息資源的非授權(quán)泄漏、更改、破壞，或使信息被非法系統(tǒng)辨別、控制和否認。即確保信息的完整性、機密性、可用性和可控性。

4)管理安全是指通過信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段，確保系統(tǒng)安全生存和運營。

信息安全是一個多層面、多因素、綜合和動態(tài)的過程。安全措施必須滲透到所有的環(huán)節(jié)。才能獲得全面的保護。為了防范和減少風(fēng)險，一般的信息系統(tǒng)都部署了基本的防御和檢測體系，如防火墻、防病毒軟件、入侵檢測系統(tǒng)、漏洞掃描設(shè)備等等。這些安全技術(shù)和安全設(shè)備及軟件的應(yīng)用，在很大程度上提高了信息系統(tǒng)的安全性。但是這樣做不能從根本上降低安全風(fēng)險。解決安全問題。因為不能把信息安全問題僅僅當(dāng)做是技術(shù)問題，日常所說的防范黑客入侵和病毒感染只能是信息安全問題的一個方面。一方面由于所有安全產(chǎn)品的功能都是針對某一類問題，并不能應(yīng)用到所有問題上，所以說它們的功能相對比較狹窄，因此想通過設(shè)置安全產(chǎn)品來徹底解決信息安全問題是不可能的；另一方面，信息安全問題并不是固定的、靜態(tài)的，它會隨著信息系統(tǒng)和操作流程的改變而變化。而設(shè)置安全產(chǎn)品則是一種靜態(tài)的解決辦法。一般情況下，當(dāng)產(chǎn)品安裝和配置一段時期后，舊的問題解決了。新的安全問題就會產(chǎn)生，安全產(chǎn)品無法進行動態(tài)調(diào)整來適應(yīng)安全問題的變化。有效解決上述問題的關(guān)鍵是搭建一個信息安全體系。建設(shè)體系化管理手段，通過安全產(chǎn)品的輔助，從而保障信息系統(tǒng)的安全。

二、搭建信息安全管理體系

(一)BS7799

信息安全管理體系是安全管理和安全控制的有效結(jié)合體，通過分析信息安全各個環(huán)節(jié)的實際需求情況和風(fēng)險情況，建立科學(xué)合理的安全控制措施，并且同信息系統(tǒng)審計相結(jié)合，從而保證信息資產(chǎn)的安全性、完整性和可用性。國際上制定的信息安全管理標(biāo)準(zhǔn)主要有：英國標(biāo)準(zhǔn)協(xié)會制定的信息安全管理體系標(biāo)準(zhǔn)-BS7799；國際信息系統(tǒng)審計與控制協(xié)會制定的信息和相關(guān)技術(shù)控制目標(biāo)-COBIT；是目前國際上通用的信息系統(tǒng)審計標(biāo)準(zhǔn)；英國政府的中央計算機和通信機構(gòu)提出的一套IT服務(wù)管理標(biāo)準(zhǔn)-ITIL；國際標(biāo)準(zhǔn)化組織(IS01和國際電工委員會(IEC)所制定信息安全管理標(biāo)準(zhǔn)-IS0／IECl335。其中BS7799英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個標(biāo)準(zhǔn)，于1995年2月制定的、世界上第一個信息安全管理體系標(biāo)準(zhǔn)。經(jīng)過不斷的修訂，目前已經(jīng)成為信息安全管理領(lǐng)域的權(quán)威標(biāo)準(zhǔn)。其兩個組成部分目前已分別成為IS017799和IS027001標(biāo)準(zhǔn)。BST799涵蓋了安全所應(yīng)涉及的方方面面，全面而不失操作性，提供了一個可持續(xù)發(fā)展提高的信息安全管理環(huán)境。在該標(biāo)準(zhǔn)中，信息安全已經(jīng)不只是人們傳統(tǒng)上所講的安全，而是成為一種系統(tǒng)化和全局化的觀念。和以往的安全體系相比，該標(biāo)準(zhǔn)提出的信息安全管理體系(SMS)具有系統(tǒng)化、程序化和文檔化的管理特點。

(二)息安全管理體系(ISMs)

信息安全管理體系(LSMS)是組織整體管理體系的一個重要組成部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系?；趯I(yè)務(wù)風(fēng)險的分析和認識，ISMS包括建立、實施、操作、監(jiān)視、復(fù)查、維護和改進信息安全等一系列的管理活動。IS027001是建立和維護信息安全管理體系的準(zhǔn)繩，它一般是要求通過確定的過程來建立ISMS框架：確定體系范圍，制定信息安全策略，明確管理職責(zé)，通過風(fēng)險評估確定控制目標(biāo)和控制方式。整個體系一旦建立起來，組織就必須實施、維護和不斷改進ISMS，保持整個體系運作的有效性。

(三)ISMS搭建步驟

當(dāng)一個組織建立和管理信息安全體系時。BS7799提供了指導(dǎo)性的建議，即遵循PDCA(Plan，Check和Act)的持續(xù)改進的管理模式。PDCA循環(huán)實際上是有效進行任何一項工作的合乎邏輯的工作程序。對于搭建和管理信息安全體系，其PDCA過程如下：

1)信息安全體系(PLAN)

在PLAN階段通過風(fēng)險評估來了解安全需求，根據(jù)需求設(shè)計解決方案。根據(jù)BS7799-2。搭建ISMS一般有如下步驟：

A、定義安全方針：信息安全方針是組織的信息安全委員會制定的高層文件，用于指導(dǎo)組織如何對資產(chǎn)，包括敏感信息進行管理、保護和分配的規(guī)則和指示。

B、定義1SMS的范圍：ISMS的范圍是需要重點進行信息安全管理的領(lǐng)域，組織可根據(jù)自己的實際情況。在整個組織范圍內(nèi)、或者在個別部門或領(lǐng)域架構(gòu)ISMS。

C、實施風(fēng)險評估：首先對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定或估計，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全控制措施進行鑒定。

D、風(fēng)險管理：根據(jù)風(fēng)險評估與現(xiàn)狀調(diào)查的結(jié)果。確定安全需求，決定如何對信息資產(chǎn)實施保護及保護到何種程度限(如接受風(fēng)險、避免風(fēng)險、轉(zhuǎn)移風(fēng)險或降低風(fēng)險)。

E、選擇控制目標(biāo)和控制措施：根據(jù)風(fēng)險評估和風(fēng)險管理的結(jié)果，選擇合適的控制目標(biāo)和控制措施來滿足特定的安全需求?？梢詮腂S7799-1的中進行選擇，也可以應(yīng)選擇一些其它適宜的控制方式。

F、準(zhǔn)備適用性申明(SOA)：SOA是適合組織需要的控制目標(biāo)和控制的評論，記錄組織內(nèi)相關(guān)的風(fēng)險控制目標(biāo)和針對每種風(fēng)險所采取的各種控制措施。

2)實施信息安全體系(D01

在DO階段將解決方案付諸實現(xiàn)，實施組織所選擇的控制目標(biāo)與控制措施。

3)檢查信息安全體系(cHECK)

在CH ECK階段進行有關(guān)方針、程序、標(biāo)準(zhǔn)與法律法規(guī)的符合性檢查，對存在的問題采取措施，予以改進，以保證控制措施的有效運行。在此過程中，要根據(jù)風(fēng)險評估的對象及范圍的變化情況。以及時調(diào)整或完善控制措施。常見的檢查措施有：日常檢查、從其他處學(xué)習(xí)、內(nèi)部ISMS審核、管理評審、趨勢分析等。

4)改進信息安全體系(ACT)

在ACT階段對ISMS進行評價。以檢查階段發(fā)現(xiàn)的問題為基礎(chǔ)，尋求改進的機會，采取相應(yīng)的措施進行調(diào)整與改進。

信息安全方針和策略范文第4篇

關(guān)鍵詞：信息安全 空間信息 信息共享 社區(qū)信息化 福州市

一、引言

社區(qū)信息化是城市信息化的基石。保障信息安全，是讓公眾充分利用空間信息及網(wǎng)絡(luò)技術(shù)對基層的公共事務(wù)和公益事業(yè)實行自我管理、自我服務(wù)、自我教育、自我監(jiān)督的重要前提。本文結(jié)合福州市公眾空間信息共享服務(wù)平臺的建設(shè)情況，對信息安全保障問題進行初步探討。

二、福州市公眾空間信息服務(wù)共享平臺的結(jié)構(gòu)

福州市公眾空間信息共享服務(wù)平臺是福州市政府基于中國福州門戶網(wǎng)站(政務(wù)外網(wǎng))向公眾提供空間信息的一站式服務(wù)平臺，以數(shù)據(jù)服務(wù)的形式為社區(qū)提供需要的海量空間地理基礎(chǔ)數(shù)據(jù)。公眾不必關(guān)心空間地理基礎(chǔ)數(shù)據(jù)的管理、維護、更新問題，保證了數(shù)據(jù)的現(xiàn)勢性，節(jié)約了數(shù)據(jù)成本。不同權(quán)限的社區(qū)公眾可以通過訪問不同的地圖服務(wù)達到訪問不同數(shù)據(jù)圖層的目的。社區(qū)公眾經(jīng)政府培訓(xùn)認證后,也可參與平臺的建設(shè)，疊加標(biāo)注所在社區(qū)的相關(guān)屬性信息，以達到社區(qū)自治的目的。

福州市公眾空間信息服務(wù)共享平臺包括應(yīng)用層、認證層、接口層、服務(wù)層、數(shù)據(jù)層和管理維護層等六個層次，相互形成一個有機的整體。

⒈應(yīng)用層

應(yīng)用層是各社區(qū)基于平臺服務(wù)接口建立的社區(qū)應(yīng)用服務(wù)展示系統(tǒng),為社區(qū)公眾使用各類空間數(shù)據(jù)及服務(wù)提供途徑。從公眾角度看，平臺是一個信息服務(wù)機構(gòu)，可以是一個傳統(tǒng)意義上的桌面應(yīng)用程序，也可以是Web應(yīng)用程序或門戶網(wǎng)站。此外，通過建立面向不同社區(qū)的元數(shù)據(jù)目錄登記注冊，可以實現(xiàn)各類共享空間信息的查找，將解決這些數(shù)據(jù)“如何發(fā)現(xiàn)”的問題。

⒉認證層

認證層是福州公眾空間信息共享服務(wù)平臺與政務(wù)專網(wǎng)的網(wǎng)絡(luò)安全體系集成接口。利用PKI/CA證書等成熟安全技術(shù)，通過身份標(biāo)識、授權(quán)控制，提供“統(tǒng)一認證管理”，實現(xiàn)“單點登錄”。認證層的設(shè)計對于平臺系統(tǒng)及其信息資源的安全保障非常必要，保證只有授權(quán)用戶才可以訪問和使用平臺所提供的相關(guān)資源。

⒊接口層

接口層是提供給各類開發(fā)用戶的Web API(網(wǎng)絡(luò)應(yīng)用程序接口)。信息服務(wù)、中介機構(gòu)及社會公眾可以使用這些API來和自己的業(yè)務(wù)應(yīng)用進行集成，形成自己的業(yè)務(wù)空間信息應(yīng)用系統(tǒng)，如商貿(mào)地理信息系統(tǒng)、三維旅游系統(tǒng)、現(xiàn)代物流系統(tǒng)、房產(chǎn)銷售管理系統(tǒng)，等等；平臺也可以使用這些API，來構(gòu)建綜合應(yīng)用展示系統(tǒng)、多源數(shù)據(jù)桌面瀏覽器等系統(tǒng)，為平臺使用者提供方便友好的接口。

⒋服務(wù)層

服務(wù)層是接口層的基礎(chǔ)，接口層是服務(wù)層的對外表現(xiàn)，服務(wù)層實現(xiàn)諸如二維數(shù)據(jù)引擎、地址編碼引擎、元數(shù)據(jù)引擎等，為接口層提供強大的后臺實現(xiàn)支持，這二者合稱為應(yīng)用接口層。通過應(yīng)用接口層，平成對各類空間地理基礎(chǔ)信息資源的對外共享和，將解決空間信息資源“如何”的問題。

⒌數(shù)據(jù)層

數(shù)據(jù)層是整個平臺的基礎(chǔ)。平臺的數(shù)據(jù)，從內(nèi)容上是福州市空間地理基礎(chǔ)信息數(shù)據(jù)，并將在平臺運行后逐步擴大其覆蓋面；從表現(xiàn)形式上是存儲在于平臺數(shù)據(jù)中心及其他多個行業(yè)部門數(shù)據(jù)中心的分布式數(shù)據(jù)庫環(huán)境中。數(shù)據(jù)的完整性、實用性、精確性、動態(tài)更新能力等從根本上決定了平臺的價值。根據(jù)不同的數(shù)據(jù)類型特點以及應(yīng)用的需要，建立實用有效的數(shù)據(jù)采集、加工及處理流程與規(guī)范，通過對原始數(shù)據(jù)的加工整合，將解決數(shù)據(jù)“如何制作”的問題。

⒍管理維護層

管理維護層包括對平臺數(shù)據(jù)的管理和應(yīng)用及服務(wù)的管理，和上面五個層有著密切的聯(lián)系，是整個平臺正常運維的保證；有數(shù)據(jù)入庫、更新維護、服務(wù)管理、運行監(jiān)控、用戶及權(quán)限管理等應(yīng)用。對于社區(qū)公眾的權(quán)限管理將分為三個級別，即功能權(quán)限控制(能使用哪些功能)、圖層權(quán)限控制(能訪問哪些圖層)及區(qū)域范圍權(quán)限控制(能訪問什么范圍)，系統(tǒng)管理員可以根據(jù)社區(qū)公眾角色進行授權(quán)，控制其對共享平臺的訪問。

三、公眾空間信息共享服務(wù)平臺的安全保障體系設(shè)計

福州市公眾空間信息共享服務(wù)平臺安全保障體系就是要在中國福州門戶網(wǎng)站（政務(wù)外網(wǎng)）和互聯(lián)網(wǎng)環(huán)境下，以公眾服務(wù)平臺的安全需求和安全策略為依據(jù)，建立以系統(tǒng)可用性、完整性、機密性為目標(biāo)的信息安全保障體系。建立服務(wù)平臺安全保障體系是一項系統(tǒng)工程，它從安全策略、安全技術(shù)保障、安全組織、安全管理以及四個方面來系統(tǒng)考慮平臺建設(shè)的安全保障。

⒈安全策略

安全策略主要從整體上提供全局性指導(dǎo)，為具體的安全措施和規(guī)定提供一個全局性的框架。公眾空間信息共享服務(wù)平臺是依托中國福州門戶網(wǎng)站（政務(wù)外網(wǎng)）為互聯(lián)網(wǎng)公眾提供信息服務(wù)。根據(jù)電子政務(wù)系統(tǒng)業(yè)務(wù)特點和安全要求，按“分域防護、分級保護”的原則，要劃分不同的安全域和業(yè)務(wù)保護安全等級，制定與之適應(yīng)的安全防護措施和安全機制，通過集成相關(guān)的安全產(chǎn)品和安全服務(wù)，從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、安全管理等五個方面，構(gòu)造多層防御的安全保障體系，以確保平臺安全、高效、可靠運行。

⒉安全技術(shù)保障

⑴安全基礎(chǔ)設(shè)施的建設(shè)

信息安全技術(shù)的設(shè)計必須滿足平臺建設(shè)的安全需求與安全策略。從技術(shù)保障體系結(jié)構(gòu)上，是按照分層防護的原則來設(shè)計的。通常，把物理安全、網(wǎng)絡(luò)安全和系統(tǒng)安全等安全措施統(tǒng)稱為安全基礎(chǔ)設(shè)施。安全基礎(chǔ)設(shè)施的建設(shè)主要包括：安全管理維護系統(tǒng)、設(shè)備安全管理、邊界訪問控制系統(tǒng)、監(jiān)控和檢測系統(tǒng)、防病毒系統(tǒng)、主機加固和保護、容災(zāi)備份系統(tǒng)、遠程安全接入（VPN）系統(tǒng)等。

安全網(wǎng)管和應(yīng)用監(jiān)控系統(tǒng)：實現(xiàn)對公眾空間信息共享服務(wù)平臺應(yīng)用統(tǒng)一監(jiān)控和預(yù)警，實現(xiàn)故障、事件統(tǒng)一管理。邊界訪問控制系統(tǒng)：根據(jù)各安全域具體的安全防護策略，實現(xiàn)各安全域的邊界保護。在政務(wù)信息交換中心，政務(wù)外網(wǎng)和互聯(lián)網(wǎng)直接使用防火墻設(shè)備，在政務(wù)外網(wǎng)和內(nèi)網(wǎng)之間部署網(wǎng)閘設(shè)備。

監(jiān)控檢測系統(tǒng)：重點在于檢測和修補安全漏洞，入侵行為。該系統(tǒng)包括脆弱性評估、入侵檢測、web服務(wù)器防篡改等機制。

防病毒系統(tǒng)：防范病毒入侵和傳播。

容災(zāi)備份系統(tǒng)：在服務(wù)平臺信息中心對數(shù)據(jù)進行容災(zāi)和備份。

接入網(wǎng)VPN：在網(wǎng)絡(luò)接入邊界提供VPN接入服務(wù)。

⑵應(yīng)用安全的建設(shè)

應(yīng)用安全的建設(shè)是公眾空間信息共享服務(wù)平臺安全保障體系的重點建設(shè)內(nèi)容，在建設(shè)過程中，必須考慮以下幾個方面：

統(tǒng)一身份認證：通過跟福州市政務(wù)網(wǎng)建立統(tǒng)一接口，利用政務(wù)網(wǎng)已經(jīng)建成的基于LDAP的統(tǒng)一身份認證系統(tǒng)、政務(wù)PKI/CA系統(tǒng)為共享服務(wù)平臺提供統(tǒng)一的身份認證服務(wù)。

授權(quán)管理系統(tǒng)：提供授權(quán)管理服務(wù)，對服務(wù)訪問用戶、數(shù)據(jù)管理用戶、空間信息資源共享平臺用戶及其權(quán)限進行統(tǒng)一管理。

數(shù)據(jù)安全：實現(xiàn)對機密文件進行加密、用訪問控制列表限制數(shù)據(jù)的訪問。建立關(guān)鍵數(shù)據(jù)的備份和恢復(fù)措施。

可信時間戳服務(wù)：公眾空間信息共享服務(wù)平臺上的應(yīng)用都具有很強的時序性，可信時間戳服務(wù)將成為建立有效服務(wù)和監(jiān)督機制的基石。

安全審計：安全審計對于應(yīng)用系統(tǒng)安全事故的分析和取證具有重要的作用，已經(jīng)成為信息系統(tǒng)安全的重要環(huán)節(jié)。⒊安全組織保障體系

電子政務(wù)信息安全的運作需要強有力的組織體系保障，使得有關(guān)信息安全管理和實施的政令通暢。通常，電子政務(wù)安全組織保障體系包括三個層次，即決策層、管理層和執(zhí)行層。福州市政務(wù)信息中心負責(zé)制定全市公眾空間信息共享服務(wù)平臺建設(shè)規(guī)劃、政策法規(guī)，負責(zé)平臺的建設(shè)與管理工作。為了加強安全組織保障體系，必須進一步明確崗位安全職責(zé)，明確決策層、管理層和執(zhí)行層三者的責(zé)任和權(quán)利，把安全措施落實到具體的崗位。

⒋安全管理流程控制

信息系統(tǒng)安全需要通過一系列科學(xué)規(guī)范的安全管理流程組織實施，安全管理流程明確了安全職責(zé)的劃分，合理的人員角色定義，可以很大程度上降低安全隱患。因此，公眾空間信息共享服務(wù)平臺的建設(shè)、運行、維護、管理都要嚴(yán)格按制度執(zhí)行，明確責(zé)任義務(wù)，規(guī)范操作，加強人員、設(shè)備的管理。

安全管理制度要通過安全管理流程來系統(tǒng)化實施，共享服務(wù)平臺在建立自己的信息安全體系時，其安全管理流程應(yīng)遵循著名的Plan―Do―Check―Action（PDCA），即“計劃―實施―檢查―措施”四個循環(huán)周期來實施。PDCA過程模式可簡單描述如下：

計劃：依照整個方針和目標(biāo)，建立與控制風(fēng)險、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過程和程序。

實施：實施和運作方針（過程和程序）。

檢查：依據(jù)方針、目標(biāo)和實際經(jīng)驗測量，評估過程業(yè)績，并向決策者報告結(jié)果。

措施：采取糾正和預(yù)防措施進一步提高過程業(yè)績。

四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進，使信息安全績效螺旋上升。

作者簡介：

信息安全方針和策略范文第5篇

由于審計職業(yè)的特殊性，審計人員往往經(jīng)常出差到異地工作，筆記本電腦已經(jīng)成為審計人員隨身攜帶的必備工具；筆記本數(shù)據(jù)的安全又成為審計人員實現(xiàn)計算機數(shù)據(jù)安全的關(guān)鍵。筆者從“硬件”、“軟件”以及“制度”三方面談?wù)勅绾螌崿F(xiàn)計算機數(shù)據(jù)的安全。筆記本電腦，應(yīng)從整體上制訂集體的安全方案，至于個人應(yīng)根據(jù)自身的情況加以區(qū)別，但都應(yīng)包括防盜、防止系統(tǒng)崩潰、防止黑客攻擊和病毒感染以及數(shù)據(jù)備份，認證加密等。

一、“軟”環(huán)境應(yīng)放在安全意識的首位

從軟件以及相關(guān)配置方面，是電腦操作者最關(guān)注的事，也是與其最密切相關(guān)的。審計人員的筆記本電腦應(yīng)設(shè)置BIOS開機密碼、硬盤密碼，并且使用加密軟件對重要數(shù)據(jù)進行加密保護外，還要安裝防病毒和防火墻軟件，或者將機密數(shù)據(jù)保存在移動硬盤、U盤或者刻錄到光盤等存儲介質(zhì)上加以備份，以防不測。具體應(yīng)注意以下幾方面：

（一）從開機開始，檢查筆記本電腦的安全保護性能是否完備。這其中又應(yīng)設(shè)置開機密碼，且開機密碼應(yīng)經(jīng)常更換和無規(guī)律可循。

（二）如有可能要設(shè)置硬盤鎖定密碼，確保筆記本電腦被盜后其中所存儲的重要數(shù)據(jù)不會落入他人之手。大多數(shù)筆記本電腦采用密碼機制對數(shù)據(jù)提供基本的保護措施，所以，最簡單的措施是設(shè)置開機密碼。但只設(shè)置開機密碼還不能保證數(shù)據(jù)的安全性，因為竊密人可以將硬盤拆卸下來拿到另外一臺計算機上讀取原始數(shù)據(jù)，所以還要設(shè)置硬盤鎖定密碼，這樣，該筆記本電腦在每次啟動時都必須使用密碼對硬盤解密，這樣一來即使竊密人將硬盤拔插到另一臺計算機上也很難讀取原始數(shù)據(jù)。

（三）筆記本電腦所使用的操作系統(tǒng)應(yīng)具有較好的穩(wěn)定性，同時應(yīng)使用具有安全防護性能的操作系統(tǒng)，最好在筆記本上安裝WINDOWS2000作為操作系統(tǒng)平臺，并將分區(qū)設(shè)置為NTFS格式，然后設(shè)置登錄密碼，并確保在不使用時處于登錄前狀態(tài)，以防止他人乘機竊取筆記本電腦上的機密信息。

（四）對筆記本電腦中所存儲的重要文件采用加密存放的方式進行保護。由于盜竊者攻擊破壞手段的不斷發(fā)展，僅僅依靠密碼并不足以阻止經(jīng)驗豐富的竊密人擦除系統(tǒng)配置信息（包括密碼在內(nèi)），而后侵入系統(tǒng)，進而獲取其中存放的機密信息。所以，要切實保護筆記本電腦中存儲的機密數(shù)據(jù)的安全，最好使用磁盤加密程序，如ISS LIMITED公司出品的IPROTECT，至少對于最重要的數(shù)據(jù)要采取以上保護措施（當(dāng)然也不要對所有對象都加密，這樣會降低計算機性能）。

（五）時常進行數(shù)據(jù)備份，以防在萬一丟失筆記本電腦的情況下減小損失。為預(yù)防意外，應(yīng)對筆記本電腦上的數(shù)據(jù)存有備份，這樣即使筆記本電腦丟失，仍能保證信息不至于丟失，將損失降至最低。

（六）使用數(shù)據(jù)恢復(fù)軟件，減少誤刪除所帶來的影響，建議使用FINAL DATA2.0以上版本。同時對于重要數(shù)據(jù)要作到徹底的刪除，市場上相關(guān)軟件也較多，另外新版的殺毒軟件有許多也擁有上述功能，可以加以發(fā)掘使用。

二、硬件方面是實現(xiàn)數(shù)據(jù)安全的捷徑

如果可能，可以考慮通過購買相關(guān)的硬件提高審計人員筆記本電腦整體的安全性，防盜和防泄密。其中電腦防盜鎖簡單實用，成為首選。電腦防盜鎖是專門為保護電腦而設(shè)計的。通常筆記本電腦身上都會有一個被稱為“SECURITY SLOT（安全接口）”的橢圓形防盜鎖孔，旁邊有一個鎖形標(biāo)志，這是KENSINGTON公司的專利標(biāo)志，現(xiàn)在已經(jīng)成為電腦業(yè)界的標(biāo)準(zhǔn)，目前市場上主流的筆記本產(chǎn)品、PDA、投影儀等都有這種防盜鎖孔。我們常用的筆記本電腦用的防盜鎖孔有線纜鎖和扣式鎖兩種。線纜相對比較便宜且耐用，扣式鎖功能較多但價格較高。

如果審計人員經(jīng)常在人多的場所使用筆記本電腦，存在向外泄密的可能性，會對計算機數(shù)據(jù)的安全帶來一定的威脅，可以選配防泄密濾鏡。他是一塊暗色的塑料屏幕，將他用膠帶粘在液晶屏后就只有筆記本正前方的人才能看見屏幕上的內(nèi)容，而旁邊的人只看見黑屏，從而防止了信息泄密。對于高級用戶，除了上述措施外，建議選購帶有安全解決方案、IC智能卡、指紋識別系統(tǒng)等產(chǎn)品。

當(dāng)然，移動辦公的安全防護是一個系統(tǒng)工程，也是一個體系，不但包含信息在存儲過程中的安全保護，還包括信息在傳輸流轉(zhuǎn)過程中的安全防護問題，單是針對移動辦公中的筆記本電腦的信息安全問題，也有很多方面還需要進一步引起重視。

三、安全意思必須通過制度和相應(yīng)的規(guī)則上加以規(guī)范

信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。目前，我國的信息安全管理主要依靠傳統(tǒng)的管理方式與技術(shù)手段來實現(xiàn)，傳統(tǒng)的管理模式缺乏現(xiàn)代的系統(tǒng)管理思想，用于管理現(xiàn)代信息往往不適用，而技術(shù)手段又有局限性。保護信息安全，國際公認最有效的方式是采用系統(tǒng)的方式（管理+技術(shù)），即確定信息安全管理方針和范圍，在風(fēng)險分析的基礎(chǔ)上選擇適宜的控制目標(biāo)與方式來進行控制。我們在制訂部門信息安全制度或規(guī)則時，具體可以考慮具體研究BS7799。BS7799是英國標(biāo)準(zhǔn)協(xié)會（BRITISH STANDARDS INSTITUTION，簡稱BSI）制訂的信息安全管理體系標(biāo)準(zhǔn)，它還包括兩部門，其第一部分《信息安全管理實施規(guī)則》于2000年底已經(jīng)被國際標(biāo)準(zhǔn)化組織（ISO）納入世界標(biāo)準(zhǔn)，編號為ISO／IEC17799。

BS7799廣泛地涵蓋了所有的信息安全議題，如安全方針的制定、責(zé)任的歸屬、風(fēng)險的評估、定義與強化安全參數(shù)及訪問控制，甚至包含防病毒的相關(guān)策略等，其中對于信息安全，特別是計算機數(shù)據(jù)安全有明確的規(guī)定。BS7799已經(jīng)成為國際公認的信息安全實施標(biāo)準(zhǔn)，適用于各種產(chǎn)業(yè)與組織。