信息安全策略概述

    5.1　信息安全策略概述

    在计算机技术飞速发展的今天，由于硬件技术、软件技术、网络技术和分布式计算技术的推动，增加了计算机系统访问控制的难度，使控制硬件使用为主要手段的中心式安全控制的效果大大降低，信息安全问题变得越来越突出，重视程度也日渐增加，而信息安全策略是组织解决信息安全问题最重要的步骤，是解决信息安全问题的重要基础。

    安全策略是一种处理安全问题的管理策略的描述，策略要能对某个安全主题进行描绘，探讨其必要性和重要性，解释清楚什么该做，什么不该做。安全策略必须遵循三个基本概念：确定性、完整性和有效性。安全策略须简明，在生产效率和安全之间应该有一个好的平衡点，易于实现、易于理解。

    信息安全策略（Information Security Policy）是一个组织机构中解决信息安全问题最重要的部分。在一个小型组织内部，信息安全策略的制定者一般应该是该组织的技术管理者，在一个大的组织内部，信息安全策略的制定者可能是由一个多方人员组成的小组。一个组织的信息安全策略反映出一个组织对于现实和未来安全风险的认识水平，以及对于组织内部业务人员和技术人员安全风险的假定与处理。