8.2.2  信息安全策略

信息安全策略是企業信息安全體系的重要組成部分。

信息安全策略是一組規則，定義了企業要實現的安全目標和實現這些安全目標的途徑，具體的講，就是企業為防止因使用信息系統可能招致來的對企業資產造成損失而采取的各種措施、手段，以及建立的各種管理制度、規范等。信息安全策略可以劃分為問題策略和功能策略。問題策略描述了企業所關心的安全領域和對這些領域內安全問題的基本態度。功能策略描述如何解決所關心的問題，包括制定具體的硬件和軟件配置規格說明、使用策略以及員工行為策略。信息安全策略必須有清晰和完全的文檔描述，必須有相應的措施保證信息安全策略得到強制執行。

制定安全策略的目的是保證信息安全保護工作的整體性、計劃性及規范性，保證各項措施和管理手段的正確實施，使信息數據的保密性、完整性及可用性受到全面、可靠的保護。

在企業內部，信息安全策略的制定者應是由一個多方人員組成的小組。信息安全策略的制定，同時還需要參考相關的標準文本和類似組織的安全管理經驗。

在企業內部，必須有行政措施保證制定的信息安全策略被不打折扣地執行，管理層不能允許任何違反企業信息安全策略的行為存在，另外，也需要根據業務情況的變化不斷地修改和補充信息安全策略。