来源：51CTO

信息安全策略是信息安全项目的基石。它应当反映一个企业的安全目标，以及企业为保障信息安全而制定的管理策略。因此，为了实施信息安全策略的后续措施，管理人员必须取得一致意见。在策略的内容问题上存在争论将会影响后续的强化阶段，其结果就是导致信息安全项目“发育不良”。这意味着，为了编制信息安全策略文档，企业必须拥有明确定义的安全目标，以及为保障信息安全而编制的管理策略。

安全与管理不能分家

市场上集成了安全策略的产品中，很少有哪种方案能够同时让安全专家和管理人员都满意。试图教育管理人员如何思考安全问题并非恰当的方法。相反，构建安全策略的首要一步是明确管理部门如何看待安全。因为，所谓的安全策略就是关于信息安全的一套管理要求，这些要求向安全专业人员提供了规范指南。另一方面，安全专业人员向管理人员提供规范指南，容易忽略管理需求。

安全专业人员应当吸取管理人员的观点，不妨向其“讨教”下面这些与信息安全有关的问题：

1、你如何描述自己所接触的信息类型？

2、你依赖哪类信息做出决策？

3、有没有哪些信息比其它信息更加需要保密？

根据这些问题，就可以制定信息分类系统（例如，形成客户信息、财务信息、销售信息等），每种信息系统的正确处理过程都可在业务处理层次上描述。

[……]

查看更多

||编者按：

常常有客户提到信息安全的时候会觉得无从下手，各种各样自称是信息安全“终极”解决方案的产品在迷惑着IT经理们的眼球。那么，信息安全究竟是什么？怎么做？事实上按我们的理解，各种内容过滤、反病毒、防火墙、入侵检测产品的简单堆积并不能带来带来安全，每一种安全产品既有其专长所在，也有其必然的短板，安全的前提条件，应该是在一个统一的明确的安全目的下，利用各种信息安全产品的有机结合，达到事先确定的目的。换句话说，先有目标与策略，然后才有产品的寻求，走一步算一步的安全，很可能带来的是处处被动，下面这篇文章很好的阐释了信息防泄露即DLP应有的流程，IP-guard的整体思想，当然也是基于这种整体安全的观点。

来源：TechTarget中国

发生在去年的维基泄密事件令美国五角大楼惶恐不已。如今，事情似乎已经过去，但它所带来的影响却远远没有结束。对于安全和IT专家来说，这种泄密可以作为企业改进策略、过程和防卫的一个重要警醒。下面笔者给出一些技巧，目的是为了帮助政府部门或企业避免成为下一个维基泄密的源头。

[……]

查看更多