第4章安全规划学习目标:管理人员在信息安全政策、标准、实践、过程及方针的发展、维护和实施中的作用。英国标准协会(BSI)制订的信息安全管理标准(BS7799)。安全管理策略的制定与实施以及制定和实施安全策略时要注意的问题。机构如何通过教育、培训和意识提升计划,使它的政策、标准和实践制度化。什么是意外事故计划,它与事件响应计划、灾难恢复计划和业务持续性计划有什么关系。4.1引言要建立信息安全计划,应首先建立和检查机构的信息安全政策和程序,然后,选择或建立信息安全体系结构,开发和使用详细的信息安全蓝本,为将来的成功制定计划。机构的信息安全蓝本只有与信息安全政策相互配合,才能起作用。没有政策、蓝本和计划,机构就不能满足各个利益团体的信息安全需求。在现代机构中,计划的作用无论怎样强调都不过分。除了最小的机构之外,其他机构都承担着制定计划的任务:管理资源分配的策略计划和为商业环境的不确定做准备的意外事故计划。4.2信息安全政策与程序4.2.1为什么要制定安全政策与程序在当今快速发展的信息社会中,由信息技术支持的业务活动在技术、环境、管理等方面的脆弱性在不断增加,组织业务信息的安全性与业务持续性面
