例如某公司的信息安全现状如下:
1.投入资金购买安全产品,在公司内部推行了防病毒软件,但是越做越没有方向感,安全问题仍然存在,公司内部病毒继续横行。
2.制定了安全规定,但是公司没有方向性规定,在部门也没有强行推行。
3.公司现有的安全规定太空泛、太多、没有参考的原则,没有明确的目标,员工日常行为无法落实。
4.员工接触公司机密的东西,但是不了解公司在这方面的具体要求和做的工作,也不知道该怎么做。
需要进一步将安全策略包含以下:
1.信息安全的明确定义
2.安全策略明确实现的目标
3.明确信息安全所包含的各个方面的一般性和特殊性责任
4.详细的安全策略应包括合法性需求;安全培训需求;病毒防范和检测策略;业务持续性计划等
5.可疑的安全事件的通报流程
15109220028
