6.1 安全運維策略制定

6.1.1 目的

依據業務要求和相關法律法規，為信息系統安全運維提供原則與指導。

6.1.2 要求

信息系統安全運維策略制定完成后，宜由管理者批準，并發布、傳達給安全運維團隊和其他相關人員。

6.1.3 實施指南

在最高層面應定義“信息系統安全運維策略”，用以明確信息系統安全運維的目標和方法。該策略由管理層批準，并指定機構管理其信息系統安全運維的目標和方法。
信息系統安全運維策略主要關注來自業務安全戰略、安全運維目標、法律法規和合同、當前和預期的信息系統安全威脅環境等方面產生的要求。
信息系統安全運維策略主要涉及以下內容：
—信息系統安全運維目標和原則的定義。先確定利益相關者的安全需求，再確定企業的安全目標，然后進一步確定信息系統的安全目標，最終確定信息系統安全運維目標。根據已確定的信息系統安全運維目標，制定相應的安全運維原則，包括分層防護、失效安全、最小特權、分區隔離、保護隱私和日志記錄等；
—把信息系統安全運維管理方面的一般和特定責任分配給已定義的角色；
—處理偏差和意外的過程。
在較低層面，信息系統安全運維策略由特定主題策略予以支持，這些主題策略進一步強制性地規定了信息系統及其運行環境的安全運維控制。特定主題策略包括：
—資產管理；
—信息系統安全分級；
—訪問控制；
—物理和環境安全；
—備份；
—信息傳輸；
—惡意軟件防范；
—脆弱性管理；
—入侵管理；
—異常行為管理；
—密碼控制；
—通信安全。
這些策略宜采用適合的、可訪問和可理解的形式傳達給安全運維團隊、員工和外部相關方。