|
网络安全政策的内容可包括如下这几方面: 设备采购指南 给出采购的设备应具有的安全特性和标准。 数据私有性政策 定义合理的数据私有性保护范围,即哪些数据是需要进行安全检查和审计的,而哪些是属于私人隐私的,以及检查私人数据的条件。 访问政策 定义访问权限控制和优先级控制,包括与外部连接的各种访问控制,设备的连接方式以及用户在访问时系统给出的访问控制提示信息。 审计政策 定义各有关人员的责任,审计的覆盖范围(即需要哪些日志)和安全事件的处理规程。 鉴别政策 确定系统的鉴别机制,如口令设置政策和口令强度。 可用性申明 定义系统预期的可用性,包括系统的可用时间,以及系统的冗余和恢复机制。 系统维护政策 描述内部和外部的维护人员的责任和权限。有两个重要的方面要考虑:一个是是否允许进行远程维护以及远程维护所允许的访问权限;另一个是如果将维护工作外包,应如何管理。 违规报告政策 规定必须报告的违规事件类型和报告方法。 支援信息 包括各种联系信息,工作手册,参考资料以及其他一些与安全管理有关的内部信息。 例外情况处理 例如在哪些情况下,安全管理员的权限可以扩大;或者当安全管理员因意外情况不在时,他的替补怎样接管工作以及接管程序。 |
|
|
