若你是信息主管,对实现信息安全该如何做判断?

发布网友 发布时间：2022-04-26 02:19

我来回答

共1个回答

热心网友 时间：2022-06-20 00:20

这个问题到是很麻烦，看来是交作业还是什么啊？有一篇文章不知道对你有没有用。。给你发下吧。。。
1、安全方针
安全方针为信息安全活动提供了管理的方向以及所需的支持手段和管理层的承诺，同时安全方针还应该明确定义企业机构中安全方针的维护责任。典型的安全方针内容非常广泛，包括信息安全的定义和目的，以及在信息共享运转机制中安全防范的领域和重要性；管理意图的阐述，信息安全目标和原则的支持；安全策略、原则和标准的简要说明以及对机构尤其重要的规范实施条件的解2、 安全组织
安全组织包含三个控制目标：企业信息基础架构、第三方访问安全以及外包。安全组织要求定义企业机构内部与信息安全有关的组织和协作，如何落实安全责任，与安全有关的授权过程，同时，要求管理者能够识别第三方合作和外包过程中的风险，并通过相关的合同控制安全风险。
释；阐述信息安全的职责；等等。
3、资产分类及控制
资产分类及控制包括两个控制目标：资产责任和信息分类。资产责任要求建立起翔实、全面的资产目录；而信息分类则要求建立企业的信息分类原则，通过信息标准和相关处理来确保信息资产能够得到适当等级的保护。
4、人员安全
人员安全包括三个控制目标：职责分工和资源中的安全、用户培训、对安全事件和故障的响应。该部分与安全组织一道，构成了企业安全管理的基础。“职责分工和资源中的安全”要求采取有效措施减少人员失误、盗窃、欺诈以及对设施的滥用。“用户培训”要求确保员工理解安全策略、制度、安全威胁等，有效地支持企业安全策略的执行。“对安全事件和故障的响应”要求采取措施将安全事件和故障造成的损害降低到最低水平，对此类事件进行监控并从中汲取知识和吸取经验。安全响应需要有效的流程体系和工具来保障其质量。
5、物理和环境安全
物理和环境安全包括三个控制目标：安全区域、设备安全和一般控制措施。“安全区域”目的是防止业务设施和信息受到未经授权的物理访问、损害和干扰。而“设备安全”的控制措施可以防止资产丢失、受损和受到威胁，防止业务活动受到干扰，包括电信供应和线路安全等等。“一般控制措施”包括清理桌面和屏幕、以及资产清理等。
6、通信和运行管理
通信和运行管理包括七个控制目标：操作程序和责任、系统计划和验收、恶意软件防护、内务管理、网络管理、介质处理与安全、以及信息和软件交换。“操作程序和责任”目标是确保信息处理设施操作的正确性和安全性，包括书面操作程序记录、变更管理、事件管理和职责分离等控制措施。“系统计划和验收”的控制措施包括容量规划和系统接收，目标是将系统故障的风险降低到最低水平。“恶意软件防护”的目标是保护软件和信息的完整性免受恶意软件的伤害。“内务管理”的目标是维护信息处理和通信服务的完整性和可用性，控制措施包括信息备份、操作日志和错误日志。“网络管理”目标是保卫网络中的信息、保护支持性的基础架构。“介质处理与安全”对于目前移动性越来越高的企业IT环境来说具有特殊意义，其目标是防止资产受到破坏，防止商业活动受到干扰。“信息和软件交换”则要求采取措施，防止信息在交流过程中丢失、被修改或者被误用。通信和运行管理是通常意义上的网络信息安全所主要考虑的内容，受到较高的重视。
。。。。太多了自己从参考资料里看吧。。。

参考资料：http://www.securitycn.cn/img/uploadimg/20060316/xxanglzn.doc