一、安全管理基础要素:
1.识别组织中的信息资产
2.进行安全风险分析
3.定义安全的重要性
4.定义组织风险管理
二、安全所要具备的要素
1.可用性
2.完整性:防止资产被未经授权的人修改或被授权的人做未经允许的修改
3.机密性:避免资产被未经授权的人存储,无论是恶意还是非恶意
三、IT安全需求
1.信息资产的功能面:例如防火墙的功能就是做包过滤
2.确保信息资产的功能可以实现:例如通过日志查看防火墙是否正常运行
四、安全考量
全面的安全考量应包含以下几个方面:
1.组织架构
2.公司文化
3.管理
4.公司业务
5.风险
6.技术
五、安全政策实施关键因素
1.必须得到组织高层的支持
2.需要通过业务、技术以及管理等流程,确保安全政策与业务目标无冲突
3.然后需要从隐私权(保密协议等)、身份管理(背景调查等)、应用、基础架构、管理等五个层面进行制定安全政策
六、安全问题解决方法
需要将ERP、CRM以及VPN等都纳入安全管理办法的考量范围之内
七、如何实施安全策略
分为强制性要素和