信息安全策略是信息安全項目的基石。它應(yīng)當(dāng)反映一個企業(yè)的安全目標(biāo)，以及企業(yè)為保障信息安全而制定的管理策略。因此，為了實施信息安全策略的后續(xù)措施，管理人員必須取得一致意見。在策略的內(nèi)容問題上存在爭論將會影響后續(xù)的強(qiáng)化階段，其結(jié)果就是導(dǎo)致信息安全項目“發(fā)育不良”。這意味著，為了編制信息安全策略文檔，企業(yè)必須擁有明確定義的安全目標(biāo)，以及為保障信息安全而編制的管理策略。

安全與管理不能分家

市場上集成了安全策略的產(chǎn)品中，很少有哪種方案能夠同時讓安全專家和管理人員都滿意。試圖教育管理人員如何思考安全問題并非恰當(dāng)?shù)姆椒?。相反，?gòu)建安全策略的首要一步是明確管理部門如何看待安全。因為，所謂的安全策略就是關(guān)于信息安全的一套管理要求，這些要求向安全專業(yè)人員提供了規(guī)范指南。另一方面，安全專業(yè)人員向管理人員提供規(guī)范指南，容易忽略管理需求。

安全專業(yè)人員應(yīng)當(dāng)吸取管理人員的觀點，不妨向其“討教”下面這些與信息安全有關(guān)的問題：

1、你如何描述自己所接觸的信息類型？

2、你依賴哪類信息做出決策？

3、有沒有哪些信息比其它信息更加需要保密？

根據(jù)這些問題，就可以制定信息分類系統(tǒng)（例如，形成客戶信息、財務(wù)信息、銷售信息等），每種信息系統(tǒng)的正確處理過程都可在業(yè)務(wù)處理層次上描述。

當(dāng)然，老練的安全專家還可提供獨到的建議，從而影響管理人員關(guān)于組織策略的管理觀點。一旦安全專家完全理解了管理部門的觀點，就有可能介紹一個與管理部門一致的安全框架。該框架將會成為企業(yè)信息安全項目的基石，為構(gòu)建信息安全策略提供指南。

通常，安全業(yè)的標(biāo)準(zhǔn)文檔被用作基準(zhǔn)框架。這種方法很合理，因為它既有助于確保公司管理層充分地接受策略，也有利于外部審核者和參與企業(yè)信息安全項目的其它人接受。

然而，這些文檔從其本質(zhì)上說并不具體，并不描述特定的安全管理目標(biāo)。所以它們必須與管理部門的信息相結(jié)合，才能產(chǎn)生策略指南。此外，為了保持與標(biāo)準(zhǔn)文檔的一致性，期望管理部門改變其管理方式也不合理。但是，信息安全專業(yè)人員可以從這些文檔中獲取良好的安全管理方法，并可以看出是否可以將其整合到企業(yè)當(dāng)前的結(jié)構(gòu)中。

保證安全策略的可行性

安全策略應(yīng)當(dāng)反映真正的實踐。否則，策略發(fā)布之時，即企業(yè)違規(guī)之時。要保持策略的簡易可行，信息安全項目要能夠強(qiáng)化策略，同時又可以解決存在爭論的問題。

保持策略簡易的另外一個原因是，人們都清楚策略并不存在例外情況，因而他們會更愿意預(yù)先保持策略的可行性，其目的是為了保證自己能夠遵循策略。如果你的策略中出現(xiàn)了這樣的語句，“經(jīng)由主管經(jīng)理同意，可以不受該策略的約束”，那么，策略文檔就毫無價值了。策略文檔就不再代表管理部門對信息安全項目的許諾，而是代表策略將無法實施。在遵循信息安全策略時，必須能夠與遵循企業(yè)內(nèi)部的其它策略一樣處于同等水平。策略的言辭必須能夠確保得到主管人員的完全同意。

例如，假設(shè)在是否準(zhǔn)許用戶訪問可移動媒體（如USB存儲設(shè)備）的問題上存在著爭論。安全專業(yè)人員相信絕對不應(yīng)當(dāng)準(zhǔn)許這種訪問，而技術(shù)經(jīng)理可能會認(rèn)為負(fù)責(zé)數(shù)據(jù)操作的技術(shù)實施部門必須可以將數(shù)據(jù)移動或復(fù)制到任何介質(zhì)上。在策略水平上，受到多數(shù)人意見的推動，將會出現(xiàn)這樣的表述，“對移動介質(zhì)設(shè)備的所有訪問要得到主管經(jīng)理的認(rèn)可。”技術(shù)主管經(jīng)理認(rèn)可過程的細(xì)節(jié)可以進(jìn)一步討論和協(xié)商。而一般性的策略表述仍要阻止任何人在沒有得到主管經(jīng)理同意的情況下使用移動存儲介質(zhì)。

在大型企業(yè)中，策略遵循的細(xì)節(jié)可能大相徑庭。在這種情況下，根據(jù)人員(員工)來區(qū)分策略就比較恰當(dāng)。整個企業(yè)范圍內(nèi)的策略將成為一種全局策略，它包括信息安全方面最常見的范圍和規(guī)范。不同的分支機(jī)構(gòu)需要發(fā)布自己的策略。如果子策略文檔的人員在公司范圍內(nèi)有著確切的定義，這種分布式策略就極為有效。在這種情況下，為了更新這些文檔，不必謀求同層管理部門的許可。

例如，信息技術(shù)的操作策略應(yīng)當(dāng)僅需要信息技術(shù)部門的領(lǐng)導(dǎo)許可，當(dāng)然，它要與全局的安全策略保持一致，并僅將管理部門的許可增加到全局的安全策略中。策略應(yīng)當(dāng)包含這種表述，如“僅有授權(quán)的管理員能夠?qū)Σ僮飨到y(tǒng)作出更改”。還有，“僅能在獲得授權(quán)的變更控制過程中才能訪問普通ID的口令”。#p#

信息安全策略應(yīng)當(dāng)包含哪些方面？

那么，信息安全策略中應(yīng)當(dāng)至少包含哪些信息呢？這種策略應(yīng)當(dāng)至少足以傳達(dá)關(guān)于安全方面的管理目標(biāo)和方向，因而它應(yīng)當(dāng)包含：

1、范圍。它應(yīng)當(dāng)涉及企業(yè)內(nèi)所有信息、系統(tǒng)、設(shè)施、程序、數(shù)據(jù)、網(wǎng)絡(luò)、所有的技術(shù)用戶，絕無例外。

2、信息分類。策略應(yīng)當(dāng)提供特定內(nèi)容的定義而不是一般化的“機(jī)密”或“限制”。

3、在每種信息分類中安全信息處理的管理目標(biāo)。例如，法律、法規(guī)、安全方面的合同義務(wù)等，這些都可以整合，并表述為通用的目標(biāo)，如“客戶的私密信息不應(yīng)當(dāng)以明文形式授權(quán)給除客戶代表之外的任何人，并且僅能用于與客戶交流的目的。”

4、其它管理要求和補(bǔ)充文檔的策略布置（例如，它要由所有主管階層的同意，所有的其它信息處理文檔必須與其保持一致。）

5、用于參考的證明文件（例如，流程、技術(shù)標(biāo)準(zhǔn)、程序、指南等。）

6、對企業(yè)范圍內(nèi)行之有效的安全要求和規(guī)范的具體規(guī)定。（例如，對任何計算系統(tǒng)的所有訪問都要求身份確認(rèn)和驗證，不能共享個人的認(rèn)證機(jī)制）。

7、指明確切、具體的責(zé)任。（例如，技術(shù)部門是電信線路的唯一提供者。）

8、違反策略（不合規(guī)）時所面臨的后果（例如，解聘或合同中止等）。

上述清單足以保證信息安全策略的完整性，當(dāng)然，其前提條件是，規(guī)定具體安全措施的責(zé)任要在“輔助文檔”和“責(zé)任”部分進(jìn)行定義和描述。雖然第6和7兩個方面可能包含許多關(guān)于安全措施的其它細(xì)節(jié)，為了保證策略的可讀性，應(yīng)設(shè)法減少其數(shù)量，并依靠子策略或證明文檔來包含各種要求。再有，在策略水平上的完整合規(guī)比讓策略包括大量的細(xì)節(jié)更為重要。

注意，策略的形成過程在策略文檔之外。關(guān)于策略的核準(zhǔn)、更新和版本控制應(yīng)當(dāng)謹(jǐn)慎保留，并且在審計策略的過程中要保持其可用性。

【編輯推薦】

1. 2011年重要軟件升級應(yīng)注意的安全管理問題
2. 終端安全管理，準(zhǔn)入控制為先
3. 內(nèi)網(wǎng)安全管理隱患應(yīng)從準(zhǔn)入控制做起
4. 企業(yè)應(yīng)如何安全管理云計算中的敏感數(shù)據(jù)？