第10章信息系统的安全策略
10.1信息系统安全策略的内涵
10.1.1安全策略是安全管理的指导原则10.1.2安全策略的目的与内容10.1.3安全策略的基本流程10.1.4安全策略的特征10.1.5与信息安全策略有关的名词简介
10.1信息系统安全策略的内涵
信息安全策略（Information Security Policies）是对信息安全管理系统（information security management system ISMS ）的目的和意图的高层次描述。安全策略应符合业务需求和相关法律、法规，应能提供管理的方向和支持。安全策略形成的文件应获得管理层的批准，应与内外部相关的团体、部门沟通并向所有员工发布，应按计划或变化进行评审和改进，确保策略的持续性、稳定性、充分性与有效性。概括地讲，安全策略为确保ISMS的“安全”，提供ISMS“资源与现状”的“需求”、提出ISMS“目标与原则”的“要求”。实际上的安全管理都是分级、分层次的，所以可以有各级、各层次的安全策略。