組織經(jīng)常為各種需求創(chuàng)建多個 IT 策略：災難恢復、數(shù)據(jù)分類、數(shù)據(jù)隱私、風險評估、風險管理等。這些文件通常是相互關聯(lián)的，并為組織提供了一個框架來設定價值以指導決策和響應。

組織還需要信息安全策略。這種類型的政策提供的控制和程序有助于確保員工適當?shù)厥褂?IT 資產(chǎn)。本文解釋了創(chuàng)建信息安全策略的好處、它應該包含哪些元素以及成功的優(yōu)秀實踐。

什么是信息安全政策？

美國國家科學技術研究院 (NIST)將信息安全政策定義為“規(guī)定組織如何管理、保護和分發(fā)信息的指令、法規(guī)、規(guī)則和實踐的集合”。

由于組織具有不同的業(yè)務要求、合規(guī)義務和人員配備，因此沒有適用于所有人的單一信息安全策略。相反，每個 IT 部門都應該確定最能滿足其特定需求的策略選擇，并創(chuàng)建一個由高級利益相關者批準的簡單文檔。

信息安全策略有什么好處？

出于以下原因，信息安全策略至關重要：

(1) 確保數(shù)據(jù)的機密性、完整性和可用性

制定可靠的政策為識別和降低數(shù)據(jù)機密性、完整性和可用性風險(稱為CIA 三元組)提供了一種標準化方法，并提供了對問題作出響應的適當步驟。

(2) 幫助將風險降至最低

信息安全策略詳細說明了組織如何發(fā)現(xiàn)、評估和緩解 IT 漏洞以阻止安全威脅，以及在系統(tǒng)中斷或數(shù)據(jù)泄露后用于恢復的流程。

(3) 在整個組織內協(xié)調和執(zhí)行安全計劃

任何安全計劃都需要創(chuàng)建一個有凝聚力的信息安全策略。這有助于防止出現(xiàn)分歧的部門決策，或者更糟的是，部門根本沒有政策。該策略定義了組織如何識別不執(zhí)行有用安全功能的無關工具或流程。

(4) 將安全措施傳達給第三方和外部審計師

編纂安全策略使組織能夠輕松地將其圍繞 IT 資產(chǎn)和資源的安全措施傳達給員工和內部利益相關者，還可以傳達給外部審計師、承包商和其他第三方。

(5) 幫助組織合規(guī)

擁有完善的安全策略，在國外對于組織通過HIPAA 和CCPA等安全標準和法規(guī)的合規(guī)性審核非常重要，在我國則落實網(wǎng)絡安全等級保護和關鍵信息基礎設施安全保護等合規(guī)性非常重要。審計師通常會要求公司提供有關其內部控制的文檔，而信息安全政策可幫助組織證明執(zhí)行了所需的任務，例如：

• 定期評估當前 IT 安全策略的充分性
• 執(zhí)行風險評估以發(fā)現(xiàn)和緩解技術或工作流程中的漏洞
• 分析現(xiàn)有系統(tǒng)在數(shù)據(jù)完整性、網(wǎng)絡安全方面的功效

在制定信息安全政策時，有哪些好的資源可供參考？

制定信息安全策略可能是一項艱巨的任務。以下框架提供了有關如何制定和維護安全策略的指南：

• 網(wǎng)絡安全等級保護—網(wǎng)絡安全等級保護是我國網(wǎng)絡安全領域的基本制度、基本國策。通過一套體系化的要求和實現(xiàn)，確保網(wǎng)絡達到基線安全。
• COBIT — COBIT 專注于安全、風險管理和信息治理，對Sarbanes-Oxley (SOX) 合規(guī)性特別有價值。
• NIST 網(wǎng)絡安全框架——該框架提供與風險分析和風險管理的五個階段相一致的安全控制：識別、保護、檢測、響應和恢復。它通常用于水務、交通和能源生產(chǎn)等關鍵基礎設施領域。
• ISO/IEC 27000 — 來自國際標準組織的這個系列是最廣泛的框架之一。它可以適應各種類型和規(guī)模的組織，并針對特定行業(yè)設計了各種子標準。例如，ISO 27799 解決了醫(yī)療保健信息安全問題，對于受HIPAA 合規(guī)性約束的組織非常有用。該系列中的其他標準適用于云計算、數(shù)字證據(jù)收集和存儲安全等領域。

此外，各種組織發(fā)布數(shù)據(jù)安全策略模板，可以對其進行編輯以滿足需求，而不是從頭開始。

信息安全政策的關鍵要素是什么？

一般而言，信息安全策略應包括以下部分：

(1) 目的：闡明安全策略的目的。請務必確定該政策旨在幫助組織遵守的任何法規(guī)或法律。

(2) 范圍：詳細說明屬于該策略的內容，例如計算機和其他 IT 資產(chǎn)、數(shù)據(jù)存儲庫、用戶、系統(tǒng)和應用程序。

(3) 時間表：指定保單的生效日期。

(4) 權威：確定支持政策的個人或實體，例如公司所有者或董事會。

(5)政策合規(guī)性：列出數(shù)據(jù)安全政策旨在幫助組織遵守的所有法規(guī)，例如 HIPAA、SOX、PCI DSS 或 GLBA。

(6) 正文：描述每個領域的程序、過程和控制：

• 資產(chǎn)和信息分類和控制：描述如何按安全分類標記數(shù)據(jù)并應用控制以確保適當?shù)臄?shù)據(jù)保護。
• 信息保留：說明將如何存儲和備份數(shù)據(jù)，并執(zhí)行保留時間表。
• 人員安全：有關人員事項的詳細安全程序，例如保密協(xié)議和人員篩選。
• 身份和訪問管理：描述有關用戶訪問、權限和密碼的管理策略。請務必注意基于用戶角色和職責的特殊要求，例如需要安全操作人員進行強身份驗證。本節(jié)還確定了網(wǎng)絡安全和應用程序訪問控制，以及云安全。
• 變更管理和事件管理：定義響應可能影響 IT 系統(tǒng)機密性、完整性或可用性的變更的程序。還要詳細說明針對安全隱患或系統(tǒng)故障的適當事件響應程序，以及負責這些任務的具體人員。
• 可接受的使用政策：描述個人如何將組織的網(wǎng)絡、互聯(lián)網(wǎng)訪問或設備用于商業(yè)和個人用途。詳細說明不同群體的任何差異，例如員工、承包商、志愿者或公眾
• 防病毒和補丁管理：指定應用防病毒更新和軟件補丁的程序。
• 物理和環(huán)境安全：制定有關物理安全的信息安全標準，例如上鎖的門和受控訪問區(qū)域。
• 通信和運營管理：描述系統(tǒng)規(guī)劃和驗收、內容備份和漏洞管理等領域的運營程序和職責。
• 信息和軟件交換：概述與外部各方交換數(shù)據(jù)或軟件的適當步驟。本節(jié)特別適用于與第三方合作或必須響應客戶或第三方數(shù)據(jù)請求的組織。確保符合隱私政策。
• 加密控制：指定加密的必要用途以實現(xiàn)安全目標，例如加密電子郵件附件或存儲在筆記本電腦上的數(shù)據(jù)。

(7) 用戶培訓：描述用戶必須接受的安全意識和其他培訓，以及負責開發(fā)和實施培訓的團隊。

(8) 聯(lián)系人：指定負責創(chuàng)建和編輯信息安全策略文件的人員或團隊。

(9) 版本歷史：跟蹤所有政策修訂。包括每次更新的日期和作者。

該遵循哪些最佳實踐來創(chuàng)建良好的安全策略?

遵循這些最佳實踐將幫助組織創(chuàng)建有效的信息安全策略：

• 獲得高管的支持。如果最高領導層簽署該政策，該政策將更容易實施和執(zhí)行。
• 列出所有適當?shù)陌踩ㄒ?guī)。確保熟悉管理自己所在行業(yè)的所有法規(guī)，因為它們會嚴重影響政策內容。
• 評估系統(tǒng)、流程和數(shù)據(jù)。在起草文件之前，請先熟悉貴組織當前的系統(tǒng)、數(shù)據(jù)和工作流程。這將需要與業(yè)務伙伴密切合作。
• 為組織定制策略。確保該政策與組織的需求相關?；〞r間澄清政策的目標并確定其范圍。
• 識別風險。要概述適當?shù)娘L險應對程序，組織必須識別潛在風險。許多組織通過風險評估來做到這一點。
• 對新的安全控制持開放態(tài)度。根據(jù)識別的風險，組織可能需要采用新的安全措施。
• 徹底記錄程序。信息安全政策的許多方面都依賴于它所描述的程序。有時，員工已經(jīng)在執(zhí)行這些工作流程，因此這一步只需將它們寫下來。在任何情況下，都要測試這些程序以確保它們是準確和完整的。
• 教育培訓。僅作為文檔存在的策略無法實現(xiàn)信息安全。確保所有員工都接受有關安全政策內容和合規(guī)實踐的培訓。

常問問題

(1) 什么是安全策略？

安全策略是一份書面文件，它為使用IT資產(chǎn)和資源的個人確定組織的標準和程序。

(2)  為什么安全策略很重要？

安全策略對于解決信息安全威脅和制定減輕IT安全風險的策略和程序是必要的。

(3) 好的安全策略的關鍵組成部分是什么？

強大的 IT 安全策略的基礎是對組織 IT 安全計劃目標的清晰描述，包括所有適用的合規(guī)標準。該政策還將詳細說明組織將用于正確管理、保護和分發(fā)信息的流程和控制。

(4) 最常見的安全策略失敗是什么？

最常見的失敗點是用戶對策略內容缺乏認識。如果沒有適當?shù)挠脩襞嘤柡蛨?zhí)行，即使是最好的安全策略也會產(chǎn)生錯誤的安全感，從而使關鍵資產(chǎn)面臨風險。