| 信息系统的安全保障能力取决于信息系统所采取安全管理措施的强度和有效性,这些措施可以分为如下几个层面。
|
|
|
| (1)安全策略。信息安全策略用于描述一个组织高层的安全目标,它描述应该做什么而不是怎么去做。确定组织的安全策略是一个组织实现安全管理和技术措施的前提,否则所有的安全措施都将无的放矢。
|
|
|
| (2)安全组织。安全组织作为安全工作的管理、实施和运行维护体系,主要负责安全策略、制度、规划的制订和实施,确定各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作、监督各种安全工作的开展、协调各种不同部门在安全实施中的分工和合作,以保证安全目标的实现。
|
|
|
| (3)安全人员。人是信息安全的核心,信息的建立和使用者都是人。不同级别的保障能力的信息系统对人员的可信度要求也不一样,信息系统的安全保障能力越高,对信息处理设施的维护人员、信息建立和使用人员的可信度要求就越高。
|
|
|
| (4)安全技术。安全技术是信息系统里面部署的各类安全产品,它属于技术类安全控制措施,不同保障能力级别的信息系统应选择具备不同安全保障能力级别的安全技术与产品。
|
|
|
| (5)安全运作。包括安全生命周期中各个安全环节的要求,包括安全服务的响应时间、安全工程的质量保证、安全培训的力度等。
|
|
|
