安全管理实践(二):安全策略与安全教育
2008-09-10 13:23:06 来源:WEB开发网安全教育策略:包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。
口令管理策略:包括口令管理方式、口令设置规则、口令适应规则等。
补丁管理策略:包括系统补丁的更新、测试、安装等。
系统变更控制策略:包括设备、软件配置、控制措施、数据变更管理、一致性管理等。
商业伙伴、客户关系策略:包括合同条款安全策略、客户服务安全建议等。
复查审计策略:包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。
企业制定的安全策略应当遵守相关的法律条令,有时安全策略的内容和员工的个人隐私相关联,在考虑对信息资产保护的同时,也应该对这方面的内容有一个明确的说明。
三、 安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。
在安全教育具体实施过程中应该有一定的层次性:
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。
负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并容纳到整个企业文化体系中才是最根本的解决办法。
小结:
解决信息安全问题不能仅仅只从技术上考虑,但也不是说不考虑技术,技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,这可以参照国际上通行的一些标准来实现,如:BS7799、ISO17799、ISO15408、RFC1296、SSE-CMM、ISO11131、ISO13569等。
中查找“安全管理实践(二):安全策略与安全教育”更多相关内容
中查找“安全管理实践(二):安全策略与安全教育”更多相关内容更多精彩
赞助商链接
