校盾計劃課程安全管理體系25小時

安全規(guī)劃12信息安全政策和程序1信息安全管理標(biāo)準(zhǔn)2安全管理策略的制定和實施3安全教育、培訓(xùn)和意識提升，持續(xù)性策略4目錄信息安全政策和程序為什么要定制安全政策和程序

因為在當(dāng)今快速發(fā)展的信息化中，由于信息化技術(shù)支持的業(yè)務(wù)活動在技術(shù)、環(huán)境、管理方面的脆弱性在不斷增加，業(yè)務(wù)信息的安全性與業(yè)務(wù)持續(xù)性面臨著各種各樣的威脅，在保證組織機構(gòu)或部門正常運營的過程中，信息安全為其重要。3信息安全政策和程序信息安全政策的內(nèi)容

企業(yè)信息安全政策也稱為一般安全政策、IT安全政策和信息安全政策。

特定問題安全政策。

特定系統(tǒng)政策。4信息安全政策和程序安全程序的組成

信息安全程序包括兩部分：一部分是實施控制目標(biāo)與控制方式的安全控制程序，另一部分是為覆蓋信息安全管理體系的管理運行與運作的程序。5信息安全政策和程序安全程序涉及的問題

程序文件一般不涉及純技術(shù)性的細(xì)節(jié)，細(xì)節(jié)通常在工作指令或作業(yè)指導(dǎo)書中體現(xiàn)。

程序文件是針對影響信息安全的各項活動目標(biāo)的執(zhí)行做出規(guī)定，它表明影響信息安全的那些管理人、執(zhí)行人、驗證和評審人的職責(zé)。

程序文件的范圍和詳細(xì)程序取決與安全工作的復(fù)雜程度。

程序文件應(yīng)簡練、明確和易懂，使其具有可操作性和可檢查性。

程序文件應(yīng)具有統(tǒng)一的結(jié)構(gòu)與格式編排，便于文件的理解與使用。6信息安全管理標(biāo)準(zhǔn)信息安全管理的內(nèi)容

信息安全方針與策略。

組織信息安全。

資產(chǎn)管理。

人力資源安全。

物理和環(huán)境安全。7信息安全管理標(biāo)準(zhǔn)

通信和操作安全。

訪問控制。

信息系統(tǒng)的獲取、開發(fā)和保持。

信息安全事件管理。

業(yè)務(wù)持續(xù)性管理。

符合性。8安全管理策略的制定和實施安全管理策略的制定

理解組織業(yè)務(wù)特征和文化。

得到管理層的明確支持和承諾。

組建一個安全策略制定小組。

確定信息安全整體目標(biāo)。

確定范圍。

風(fēng)險評估與選擇安全控制。

起草擬定安全策略。

評估安全策略。9安全管理策略的制定和實施安全管理策略制定和實施注意的問題控制成本。在安全可靠性與業(yè)務(wù)靈活性之間進(jìn)行評估。制定合適的人力資源政策。注重企業(yè)安全文化的建設(shè)。10安全教育、培訓(xùn)和意識提升，持續(xù)性策略安全教育信息安全教育項目包括所有安全專業(yè)人員的信息安全教育需求。所有信息技術(shù)專業(yè)人員的必備知識教育。11安全教育、培訓(xùn)和意識提升，持續(xù)性策略安全培訓(xùn)范圍

應(yīng)定期對從事操作和維護(hù)信息系統(tǒng)的工作人員進(jìn)行培訓(xùn)，包括信息系統(tǒng)安全培訓(xùn)、政策法律法規(guī)的培訓(xùn)。安全培訓(xùn)內(nèi)容

法律、制度和道德培訓(xùn)。

規(guī)章制度培訓(xùn)。12安全教育、培訓(xùn)和意識提升，持續(xù)性策略安全意識

安全意識指通過改變組織或機構(gòu)的觀點，讓他們意識到安全的重要性和沒有保證安全所帶來的不利后果，并建立培訓(xùn)階段和提醒后繼者。安全意識的提升包括

員工的行為和意識。

員工的責(zé)任。

安全意識策略。

提高安全意識的方式。13安全教育、培訓(xùn)和意識提升，持續(xù)性策略安全持續(xù)性策略

在IT信息安全團(tuán)隊的管理者通常需要提供策略計劃，以確保信息系統(tǒng)的可持續(xù)性。對于管理者來說，發(fā)生某種形式的攻擊的可能性非常高，無論是外