確定應用範圍
在制訂安全策略之前乙個必要的步驟是確認該策略所應用的範圍,例如是在整個組織還是在某個部門。如果沒有明確範圍就制訂策略無異於無的放矢。
獲得管理支援
事實上任何專案的推進都無法離開管理層的支援,安全策略的實施也是如此。先從管理層獲得足夠的承諾有很多好處,可以為後面的工作鋪平道路,還可以了解組織總體上對安全策略的重視程度,而且與管理層的溝通也是將安全工作進一步導向更理想狀態的乙個契機。
進行安全分析
這是乙個經常被忽略的工作步驟,同時也是安全策略制訂工作中的乙個重要步驟。這個步驟的主要目標是確定需要進行保護的資訊資產及其對組織的絕對和相對價值,在決定保護措施的時候需要參照這一步驟所獲得的資訊。進行這項工作時需要考慮的關鍵問題包括需要保護什麼、需要防範哪些威脅、受到***的可能性、在***發生時可能造成的損失、能夠採取什麼防範措施、防範措施的成本和效果評估等等。
會見關鍵人員
通常來說至少應該與負責技術部門和負責業務部門的人員進行一些會議,在這些會議上應該向這些人員灌輸在分析階段所得出的結論並爭取這些人員的認同。如果有其它屬於安全策略應用範圍內的業務單位,那麼也應該讓起加入到這項工作。
制訂策略草案
一旦就應用範圍內的採集的資訊達成一致並獲得了組織內部足夠的支援,就可以開始著手建立實際的策略了。這個策略版本會形成最終策略的框架和主要內容,並作為最後的評估和確認工作的基準。
開展策略評估
在之前已經與管理層及與安全策略執行相關的主要人員進行了溝通,而該部分工作在之前的基礎上進一步與所有風險承擔者一同對安全策略進行確認,從而最終形成修正後的正式的策略版本。在這個階段會往往會有更多的人員參與進來,應該進一步爭取所有相關人員的支援,至少應該獲得足夠的授權以保障安全策略的實施。
發布安全策略
當安全策略完成之後還需要在組織內成功的進行發布,使組織成員仔細閱讀並充分理解策略的內容。可以通過組織主要的資訊發布渠道對安全策略進行廣泛發布,例如組織的內部資訊系統、例會、培訓活動等等。
隨需修訂策略
隨著應用環境的變化,資訊保安策略也必須隨之變化和發展才能夠繼續發揮作用。通常組織應該每個季度進行一次策略的評估,每年至少應該進行一次策略更新。
如何建立雲安全策略
一些首席資訊保安官 ciso 被組織引導到雲計算中,他們決定必須利用分布式系統的強大和靈活性。而其他人是沒有由管理層批准或知識而只註冊雲服務的員工推入的。無論哪種方式,如果沒有雲安全技術戰略,那麼組織將會遇到麻煩,forrester公司研究副總裁兼首席安全分析師安德拉斯 西瑟說。在當今世界,許多首席...
MySQL安全策略
資料是企業核心資產,資料對企業而言是最重要的工作之一。稍有不慎,極有可能發生資料無意洩露,甚至被黑客惡意竊取的風險。每年業界都會傳出幾起大事件,某知名或不知名的公司被脫褲 拖庫的諧音,意思是整個資料庫被黑客盜取 之類的。從資料安全上也可以分為外網安全及內部操作安全,下面分別討論一下。內部操作安全策略...
SSH安全策略
ssh安全策略 ss配置基本安全策略 調整sshd服務配置,並過載服務 root vim etc ssh sshd config protocol 2 去掉ssh協議v1 permitrootlogin no 禁止root使用者登入 permitemptypasswords no 禁止密碼為空的使用...