企业信息安全策略

多年对企业信息安全的研究，借前人的成果加自己的经验总结出如下信息安全策略,供广大同行博主分享。
-------由涉及知识产权问题，关键字节用XXX代替，请谅解

1，企业信息安全策略从制定到XX

2，确认安全策略的XX范围

3，确认负责安全策略XX，实施的XX，与组织XX

4，安全策略实施的XX分析

5，XX安全策略分析

6，企业外部安全XX控制，内部XX控制

7，数据XX与数据XX策略

8，建立最佳的病毒XXXX

9，制定身份XX及XXXX策略的需求分析

10，系统XXX分布管理

11，XX预备策略和恢复策略；要求预备相关的技术和设备

12，IT资源XXX管理

13，建立有效的XXXXXX方案和策略

14，安全教育策略的XXXX和XXXXX；要持续

15，XXXX策略的实施，内容，要持续

16，安全XXXXX的建立和管理

17，启动安全策略需要注意的地方：如人员接受程度，客户感知和反应；必要时需要和相关人员作出解释，以免不必要的矛盾发生和情绪上的抵触

18，接受具体XXXXX，XXXXX，其他安全机构等的建议和投诉，XXX和XXX相关的安全策略

19，定时举行安全部门分析会议：新信息新技术沟通，XX，XX措施

20，XX学习，XX研究新的安全风险，对未来的任何一种经营方式，设备，人员，管理，介质作出可能的XXXX分析，并制定出XXXXXX新的适合XX的安全策略。

完整的按照上述20条执行，周期循环检查，并且不断追踪更新，不断分析探索风险问题，以发现新的安全问题，才能保证企业信息安全作到比较满意的效果。

还有一点，不是光有技术就能确保安全，也不是光有策略就能做到安全。

安全是一种定义，也是一种境界；这个世界永远没有绝对的安全，安全是一种精神和意识，是和黑客，漏洞，病毒，木马，网络钓鱼，引诱欺骗，陷阱等的全方面较量...............

------------------------------------
以上是根据 BS7799-1/2，ISO17799，CC ，安全等级保护，安全分级保护，以及实战经验整理出。现分享给广大IT 同行博主。

本文出自 “项目营运” 博客，请务必保留此出处http://brucewong.blog.51cto.com/486015/166378