1、组织安全策略
- 可接受的使用法规策略
- 风险管理策略
- 脆弱性管理策略
- 数据保护策略
- 访问控制策略
- 业务连续性策略
- 日志聚合和持续性审计策略
- 人员安全策略
- 物理安全策略
- 安全的应用程序开发策略
- 变更控制策略
- 电子邮件策略
- 安全事故响应策略
2、安全专家需要考虑的问题
- 组织层面,关注业务的整体风险,这意味着为组织设置风险管理的框架和重要的偏好倾向,如风险容忍度
- 业务流程层面,处理组织主要职能面对的风险,例如定义组织与合作伙伴或客户之间信息流的关键程度
- 信息系统层面,从信息系统角度解决风险
3、安全策略类型
- 合规性策略
- 建议性策略
- 指示性策略
小结
- 安全计划必须是从最高层做起,并在组织内的每一个层面都起到应有的作用和功能才能保证组织安全计划的成功(安全是自上而下)
- 每位员工不同的价值观和经验会给组织的系统环境带来不同的安全问题
- 基线是最低的安全级别