信息安全策略是信息安全項目的基石。它應當反映壹個企業的安全目標,以及企業為保障信息安全而制定的管理策略。因此,為了實施信息安全策略的後續措施,管理人員必須取得壹致意見。在策略的內容問題上存在爭論將會影響後續的強化階段,其結果就是導致信息安全項目“發育不良”。這意味著,為了編制信息安全策略文檔,企業必須擁有明確定義的安全目標,以及為保障信息安全而編制的管理策略。 安全與管理不能分家 市場上集成了安全策略的產品中,很少有哪種方案能夠同時讓安全專家和管理人員都滿意。試圖教育管理人員如何思考安全問題並非恰當的方法。相反,構建安全策略的首要壹步是明確管理部門如何看待安全。因為,所謂的安全策略就是關於信息安全的壹套管理要求,這些要求向安全專業人員提供了規範指南。另壹方面,安全專業人員向管理人員提供規範指南,容易忽略管理需求。 安全專業人員應當吸取管理人員的觀點,不妨向其“討教”下面這些與信息安全有關的問題: 1、妳如何描述自己所接觸的信息類型? 2、妳依賴哪類信息做出決策? 3、有沒有哪些信息比其它信息更加需要保密? 根據這些問題,就可以制定信息分類系統(例如,形成客戶信息、財務信息、銷售信息等),每種信息系統的正確處理過程都可在業務處理層次上描述。 當然,老練的安全專家還可提供獨到的建議,從而影響管理人員關於組織策略的管理觀點。壹旦安全專家完全理解了管理部門的觀點,就有可能介紹壹個與管理部門壹致的安全框架。該框架將會成為企業信息安全項目的基石,為構建信息安全策略提供指南。 通常,安全業的標準文檔被用作基準框架。這種方法很合理,因為它既有助於確保公司管理層充分地接受策略,也有利於外部審核者和參與企業信息安全項目的其它人接受。 然而,這些文檔從其本質上說並不具體,並不描述特定的安全管理目標。所以它們必須與管理部門的信息相結合,才能產生策略指南。此外,為了保持與標準文檔的壹致性,期望管理部門改變其管理方式也不合理。但是,信息安全專業人員可以從這些文檔中獲取良好的安全管理方法,並可以看出是否可以將其整合到企業當前的結構中。 保證安全策略的可行性 安全策略應當反映真正的實踐。否則,策略發布之時,即企業違規之時。要保持策略的簡易可行,信息安全項目要能夠強化策略,同時又可以解決存在爭論的問題。 保持策略簡易的另外壹個原因是,人們都清楚策略並不存在例外情況,因而他們會更願意預先保持策略的可行性,其目的是為了保證自己能夠遵循策略。如果妳的策略中出現了這樣的語句,“經由主管經理同意,可以不受該策略的約束”,那麽,策略文檔就毫無價值了。策略文檔就不再代表管理部門對信息安全項目的許諾,而是代表策略將無法實施。在遵循信息安全策略時,必須能夠與遵循企業內部的其它策略壹樣處於同等水平。策略的言辭必須能夠確保得到主管人員的完全同意。 例如,假設在是否準許用戶訪問可移動媒體(如USB存儲設備)的問題上存在著爭論。安全專業人員相信絕對不應當準許這種訪問,而技術經理可能會認為負責數據操作的技術實施部門必須可以將數據移動或復制到任何介質上。在策略水平上,受到多數人意見的推動,將會出現這樣的表述,“對移動介質設備的所有訪問要得到主管經理的認可。”技術主管經理認可過程的細節可以進壹步討論和協商。而壹般性的策略表述仍要阻止任何人在沒有得到主管經理同意的情況下使用移動存儲介質。 在大型企業中,策略遵循的細節可能大相徑庭。在這種情況下,根據人員(員工)來區分策略就比較恰當。整個企業範圍內的策略將成為壹種全局策略,它包括信息安全方面最常見的範圍和規範。不同的分支機構需要發布自己的策略。如果子策略文檔的人員在公司範圍內有著確切的定義,這種分布式策略就極為有效。在這種情況下,為了更新這些文檔,不必謀求同層管理部門的許可。 例如,信息技術的操作策略應當僅需要信息技術部門的領導許可,當然,它要與全局的安全策略保持壹致,並僅將管理部門的許可增加到全局的安全策略中。策略應當包含這種表述,如“僅有授權的管理員能夠對操作系統作出更改”。還有,“僅能在獲得授權的變更控制過程中才能訪問普通ID的口令”。 信息安全策略應當包含哪些方面? 那麽,信息安全策略中應當至少包含哪些信息呢?這種策略應當至少足以傳達關於安全方面的管理目標和方向,因而它應當包含: 1、範圍。它應當涉及企業內所有信息、系統、設施、程序、數據、網絡、所有的技術用戶,絕無例外。 2、信息分類。策略應當提供特定內容的定義而不是壹般化的“機密”或“限制”。 3、在每種信息分類中安全信息處理的管理目標。例如,法律、法規、安全方面的合同義務等,這些都可以整合,並表述為通用的目標,如“客戶的私密信息不應當以明文形式授權給除客戶代表之外的任何人,並且僅能用於與客戶交流的目的。” 4、其它管理要求和補充文檔的策略布置(例如,它要由所有主管階層的同意,所有的其它信息處理文檔必須與其保持壹致。) 5、用於參考的證明文件(例如,流程、技術標準、程序、指南等。) 6、對企業範圍內行之有效的安全要求和規範的具體規定。(例如,對任何計算系統的所有訪問都要求身份確認和驗證,不能***享個人的認證機制)。 7、指明確切、具體的責任。(例如,技術部門是電信線路的唯壹提供者。) 8、違反策略(不合規)時所面臨的後果(例如,解聘或合同中止等)。 上述清單足以保證信息安全策略的完整性,當然,其前提條件是,規定具體安全措施的責任要在“輔助文檔”和“責任”部分進行定義和描述。雖然第6和7兩個方面可能包含許多關於安全措施的其它細節,為了保證策略的可讀性,應設法減少其數量,並依靠子策略或證明文檔來包含各種要求。再有,在策略水平上的完整合規比讓策略包括大量的細節更為重要。 註意,策略的形成過程在策略文檔之外。關於策略的核準、更新和版本控制應當謹慎保留,並且在審計策略的過程中要保持其可用性。
上一篇:企業網絡推廣方法下一篇:汽車行業按下重啟鍵,最需要的是金融扶持