分類
CISSP

資訊安全戰略(information security strategy)

https://ithelp.ithome.com.tw/upload/images/20210510/20132160hZWrI0FmZ9.jpg
-業務連續性政策
高級管理人員通過制定戰略計劃或戰略來實現組織的使命和願景,並通過政策指導戰略的實施。戰略通常包括項目組合,計劃和項目的集合。有許多類型的策略,例如,程序策略,特定於問題的策略,特定於系統的策略等。程序策略指導程序的執行。
我的書《有效的CISSP:安全和風險管理》詳細介紹了戰略管理。
政策
. 政策是指“組織的最高管理層正式表達的意圖和方向”。(ISO 21401:2018)
. 策略是反映特定管理目的的“與特定目的相關的一組規則”(ISO 19101-2:2018)。
. 政策是“在一定範圍內對人們活動的目標,規則,做法或法規的聲明。” (NISTIR 4734)

資料來源: Wentz Wu QOTD-20210310

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。