信息安全策略文檔內容包括哪些方面

信息安全策略文檔內容包括以下方面：

• 策略方面：關于策略自身的建設、管理、審核和修訂，策略的發布、推行、培訓、符合性等方面的內容，現有文檔中沒有體現，完全空白，建議制定此方面的系列文檔。

• 組織和人員方面：關于有關組織建設，組織和人員責任等方面的內容，在《企業信息化工作及各部門計算機崗位的崗位職責條例》中有較為全面的描述，但也存在一些問題，比如有些崗位沒有職責定義，可能是虛職；網絡管理組織與安全組織之間的關系不夠清晰等。建議定義出清晰的組織關系和結構，最好有明晰的結構圖，同時每個崗位定義具體的安全職責。同時制定關于人員安全方面的安全培訓、認證、安全素質和意識的提高等方面的制度。

• 資產方面：關于資產進行分類、標識、價值等級和機密等級劃分和維護、資產管理等方面，沒有發現有文檔涉及。建議建立相應的一系列制度和文檔。

• 運作方面：關于安全維護和日常管理，包括主要業務系統的安全維護和日常IT維護等，在遼寧電力的安全策略中有一些規定，但都不夠具體和可操作，建議開發下面的更為具體和可操作的各個方面的獨立的文檔。審計和跟蹤機制，建立日志存儲、管理和分析機制的文檔；網絡和系統的訪問控制標準和制度，加強權限管理的制度，網絡分段與網段隔離的標準和制度，遠程訪問和遠程工作的制度；用戶和口令管理的標準和制度；建立針對惡意代碼，后門的保護和偵測標準和制度；第三方管理的系列標準和制度。

• 技術方面：關于技術方面，安全策略覆蓋到物理層和網絡層，部分覆蓋到應用程序層和數據層，但內容很少，沒有覆蓋到操作系統層、業務系統層等層面。沒有描述安全防范系統、安全掃描系統、入侵檢測系統、病毒防范系統、相應安全產品的管理和維護，沒有相應的技術標準、規范和方法論等文檔。

• 主要業務覆蓋方面：沒有專門針對系統的業務系統而制定的文檔。建議制定并推行針對各個業務系統不同特性的安全管理制度，業務系統軟件的安全配置標準和規范，日常維護的安全操作流程等文檔。

• 業務連續性方面：關于業務連續性計劃的制定、測試和推行，備份和容災系統的建設、維護和管理方面，只有數據備份的管理規定，也不夠詳細。建議制定關于業務連續性方面的系列文檔。

回答所涉及的環境：聯想天逸510S、Windows 10。