信息系統安全策略是指針對本單位的計算機業務應用信息系統的安全風險(安全威脅)進行有效的識別、評估後,所採取的各種措施、手段,以及建立的各種管理制度、規章等。由此可見,一個單位的安全策略一定是定製的,都是針對本單位的“安全風險(威脅)”來進行防護的。安全策略的歸宿點(立腳點)就是單位的資產得到充分的保護。安全策略涉及技術的和非技術的、硬件的和非硬件的、法律的和非法律的各個方面。
由於計算機業務應用信息系統安全的事情涉及到單位(企業、黨政機關)能否正常運營的大事,必須由單位的最高行政執行長官、部門或組織授權完成安全策略的制定,並經過單位的全員討論修訂。安全策略自從宣佈施行之日起,就是單位(企業、黨政機關)內部的一個重要法規,任何人不得違反。
安全策略的核心內容就是“七定”,即定方案、定崗、定位、定員、定目標、定製度、定工作流程。“七定”的結果就是確定了該單位組織的計算機業務應用信息系統的安全如何具體地實現和保證。安全策略一定要具有科學性、嚴肅性、非二義性和可操作性。
按照系統安全策略“七定”要求,系統安全策略首先要解決定方案,其次就是定崗。
目前,國家部級機關的信息中心負責計算機業務應用信息系統的運營。在信息中心設置安全處,配備一名處長和一到兩名副處長,科室設置和科員配置各單位均不相同。但明確了單位的信息安全由安全處負責,處長就是單位的CSO(Chief Security Officer)。國內銀行系統由科技處負責全行的計算機業務應用信息系統的安全,科技處處長就是銀行的CSO。
以上做法雖然簡單,但定崗、定位、定員、定目標都得到落實了。然後就要由安全處或科技處負責定製度、定工作流程。在定製度、定工作流程中,還要明確一些關鍵崗位和人員。CSO之下,國內一般設置以下各種專業化的職能和職位,如機房設備安全管理、主機和操作系統管理、網絡和數據庫管理、應用和輸入輸出管理、應用開發管理以及應急事故管理等,相應的職位爲各種管理員,如機房設備安全管理員、主機和操作系統管理員等。
有了崗位,就要有責、權、利以及相應的工作制度、工作流程,由此形成各種安全策略,包括機房設備安全管理策略、主機和操作系統管理策略、網絡和數據庫管理策略、應用和輸入輸出管理策略、應用開發管理策略、應急事故管理策略、密碼和安全設備管理策略、信息審計管理策略等。