探讨信息安全政策的开发

摘要

为防护信息经由未授权的存取、泄露、篡改或销毁,对于任何拥有关键信息资产的组织来说,信息安全是必要的.能有效地实施信息安全,是需要良好的管理方案,包括制定政策与指引.本文主要探究信息安全的管理方案,集中讨论相关政策与指引.在考虑信息机密性、完整性与可用性的基础上,信息安全管理方案应包含八个主要范围:信息资产管理、人事控制、物理管制、信息存取控制、通信管理、操作管理、信息系统管理、事故处理及商业持续性.为了加强信息安全,建立政策去提供规则之治和管制是绝对必要的,清晰的指引对执行与实施也同样重要.指引需要适当发展和维持,并配合可用的资源、营运的可行性与灵活性及行政的效率.在政策的灵活性与控制性上,必须找到平衡点.