信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等。由此可见,一个单位的安全策略一定是定制的,都是针对本单位的“安全风险(威胁)”来进行防护的。安全策略的归宿点(立脚点)就是单位的资产得到充分的保护。安全策略涉及技术的和非技术的、硬件的和非硬件的、法律的和非法律的各个方面。
由于计算机业务应用信息系统安全的事情涉及到单位(企业、党政机关)能否正常运营的大事,必须由单位的最高行政执行长官、部门或组织授权完成安全策略的制定,并经过单位的全员讨论修订。安全策略自从宣布施行之日起,就是单位(企业、党政机关)内部的一个重要法规,任何人不得违反。
安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。“七定”的结果就是确定了该单位组织的计算机业务应用信息系统的安全如何具体地实现和保证。安全策略一定要具有科学性、严肃性、非二义性和可操作性。
按照系统安全策略“七定”要求,系统安全策略首先要解决定方案,其次就是定岗。
目前,国家部级机关的信息中心负责计算机业务应用信息系统的运营。在信息中心设置安全处,配备一名处长和一到两名副处长,科室设置和科员配置各单位均不相同。但明确了单位的信息安全由安全处负责,处长就是单位的CSO(Chief Security Officer)。国内银行系统由科技处负责全行的计算机业务应用信息系统的安全,科技处处长就是银行的CSO。
以上做法虽然简单,但定岗、定位、定员、定目标都得到落实了。然后就要由安全处或科技处负责定制度、定工作流程。在定制度、定工作流程中,还要明确一些关键岗位和人员。CSO之下,国内一般设置以下各种专业化的职能和职位,如机房设备安全管理、主机和操作系统管理、网络和数据库管理、应用和输入输出管理、应用开发管理以及应急事故管理等,相应的职位为各种管理员,如机房设备安全管理员、主机和操作系统管理员等。
有了岗位,就要有责、权、利以及相应的工作制度、工作流程,由此形成各种安全策略,包括机房设备安全管理策略、主机和操作系统管理策略、网络和数据库管理策略、应用和输入输出管理策略、应用开发管理策略、应急事故管理策略、密码和安全设备管理策略、信息审计管理策略等。