【51CTO.com 綜合消息】信息安全策略是一個(gè)有效的信息安全項(xiàng)目的基礎(chǔ)。從信息安全領(lǐng)域中發(fā)生的事件來(lái)看，信息安全策略的核心地位變得越來(lái)越明顯。例如，沒(méi)有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪(fǎng)問(wèn)控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。

盡管信息安全策略是廉價(jià)的實(shí)施控制方式，但它們也是最難實(shí)施的。策略花費(fèi)的僅僅是創(chuàng)建、批準(zhǔn)、交流所用的時(shí)間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時(shí)間和精力。即使是雇傭外部顧問(wèn)來(lái)輔助制定策略，與其它控制方法（特別是技術(shù)控制）相比，其花費(fèi)也是較小的。策略的制定需要達(dá)成下述目標(biāo)：減少風(fēng)險(xiǎn)，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。

信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動(dòng)制定。組織為高層主管、董事會(huì)成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對(duì)信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應(yīng)當(dāng)重視對(duì)信息系統(tǒng)了解深刻的員工，所提出的組織當(dāng)前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價(jià)值的以及什么信息是關(guān)鍵的。

在制定一整套信息安全策略時(shí)，應(yīng)當(dāng)參考一份近期的風(fēng)險(xiǎn)評(píng)估或信息審計(jì)，以便清楚了解組織當(dāng)前的信息安全需求。對(duì)曾出現(xiàn)的安全事件的總結(jié)，也是一份有價(jià)值的資料。也需要召開(kāi)相關(guān)人員會(huì)議，比如***信息官、物理安全主管、信息安全主管、內(nèi)部審計(jì)主管和人力資源主管等。

為了確定哪些部分需要進(jìn)一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件，例如計(jì)算機(jī)操作策略、應(yīng)用系統(tǒng)開(kāi)發(fā)策略、人力資源策略、物理安全策略。也可以參考國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來(lái)獲得指導(dǎo)。

資料收集階段的工作非常重要，很多時(shí)候因?yàn)楣ぷ髁亢蛯?shí)施難度被簡(jiǎn)化操作。資料收集不全，調(diào)研不夠充分會(huì)導(dǎo)致新建的信息安全策略無(wú)法與組織的真正需求一致。也無(wú)法確保策略中的要求與管理目標(biāo)相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對(duì)現(xiàn)狀進(jìn)行徹底調(diào)研的另一個(gè)作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對(duì)其完全支持。這一點(diǎn)不是針對(duì)信息安全體系結(jié)構(gòu)，而是針對(duì)信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實(shí)施、運(yùn)行。例如，互聯(lián)網(wǎng)訪(fǎng)問(wèn)控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實(shí)施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開(kāi)始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應(yīng)當(dāng)尋找直接相關(guān)人員對(duì)其進(jìn)行小范圍的評(píng)審。對(duì)反饋意見(jiàn)進(jìn)行修改后，逐漸的擴(kuò)大評(píng)審的范圍。當(dāng)所有的支持部門(mén)做出修改后，交由信息安全管理委員會(huì)評(píng)審。

信息安全策略的制定過(guò)程有很高的政策性和個(gè)性，反復(fù)的評(píng)審過(guò)程能夠讓策略更加清晰、簡(jiǎn)潔，更容易落地，為此在評(píng)審的過(guò)程中需要調(diào)動(dòng)參與積極性，而不是抵觸。

評(píng)審過(guò)程的***一步一般由總經(jīng)理、總裁、***執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁(yè)以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持。

如果讓***執(zhí)行官簽名不現(xiàn)實(shí)，由***信息官簽名也可以。要注意僅有信息安全部門(mén)主管或同級(jí)的部門(mén)主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實(shí)施，但經(jīng)驗(yàn)表明，高層的支持對(duì)策略的實(shí)施落地是非常重要的。

一般來(lái)說(shuō)，在信息安全策略文件評(píng)審過(guò)程中，會(huì)得到組織內(nèi)部各方多次評(píng)審和修訂，其中最為重要的是信息安全管理委員會(huì)。信息安全委員會(huì)一般由信息部門(mén)人員組成，參與者一般包括以下部門(mén)的成員：信息安全、內(nèi)部審計(jì)、物理安全、信息系統(tǒng)、人力資源、法律、財(cái)政和會(huì)計(jì)部。

這樣一個(gè)委員會(huì)本質(zhì)上是監(jiān)督信息安全部門(mén)的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個(gè)組織內(nèi)更好的實(shí)施落地。如果組織內(nèi)還沒(méi)有信息安全管理委員會(huì)，在制定信息安全策略的時(shí)候正是建立管理委員會(huì)的好時(shí)機(jī)，或由組織內(nèi)已存在的同職能部門(mén)擔(dān)任職責(zé)。

雖然制定了新的安全策略，還必須有一個(gè)適當(dāng)?shù)膶?shí)施過(guò)程，如果這些策略不能得到實(shí)施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒(méi)有策略更糟糕，因?yàn)檫@樣會(huì)教會(huì)員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認(rèn)為信息安全為題已經(jīng)處理雖然現(xiàn)實(shí)是另外一回事。

管理層常常以為員工行為當(dāng)然以組織利益為重，這是一個(gè)欠考慮的想法。雖然策略不可能影響員工的個(gè)人價(jià)值觀，但管理層可以運(yùn)用策略給員工提供機(jī)會(huì)，引導(dǎo)他們和組織的利益一致。策略告訴員工組織對(duì)他們的期望是什么。

新策略發(fā)布前，應(yīng)在內(nèi)部信息技術(shù)部門(mén)或?qū)徲?jì)部門(mén)內(nèi)討論如果具體實(shí)施。新策略的執(zhí)行可能會(huì)遇到多樣化的問(wèn)題?？梢酝ㄟ^(guò)績(jī)效評(píng)估和相應(yīng)獎(jiǎng)懲制度來(lái)保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關(guān)的意識(shí)提升是無(wú)效的。

在此情形下，需要尋找更有效的方式實(shí)施，或修改策略，以便更好的反映組織文化。

另有一些策略實(shí)施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應(yīng)發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關(guān)鏈接讓用戶(hù)能很快定位感興趣的材料。
制定自我評(píng)估調(diào)查表—在新的策略實(shí)施時(shí)，制定評(píng)估表，填寫(xiě)實(shí)施情況，就能明確那些部門(mén)沒(méi)有遵守好、那些地方需要額外加強(qiáng)控制。

制定遵守信息安全策略的員工協(xié)議表——應(yīng)當(dāng)編輯一個(gè)反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機(jī)制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點(diǎn)。通過(guò)考試確定是否要增加培訓(xùn)和通告。

基礎(chǔ)信息安全培訓(xùn)課程——培訓(xùn)課程通過(guò)錄像或培訓(xùn)軟件存檔。不同策略對(duì)象可能要不同的培訓(xùn)課程。

分配策略落實(shí)負(fù)責(zé)人——按部門(mén)或?qū)嶋H情況分配負(fù)責(zé)人，落實(shí)責(zé)任。

【編輯推薦】

1. RSA被收購(gòu)后***發(fā)布信息安全策略
2. 讓用戶(hù)遵守安全策略的10個(gè)方法