信息安全管理中策略、标准和实践

策略、标准和实践

策略被定义为“政府、政党或者商业机构的一套行动计划或步骤，旨在影响和决定决策、行为及其他方面”。换句话说，策略包含一套规则，规定了在机构内可接受和不可接受的行为。策略应当详细规定怎样处罚违规行为，并定义上述规程。策略的一个运用实例就是禁止在工作场所浏览不适宜的网站。为了执行策略，机构必须实施一套标准，以准确定义在工作场所哪些行为是违反规定的，以及机构对该行为的惩罚标准。标准是对策略的行为规则更详细的描述。在实施过程中，机构应当针对各种违规行为制定一套标准，并列出这些行为的详细资料。 然后，应当采用技术控制和相关的过程，防止机构人员访问色情网站。实践、过程和指导方针解释了员工应当怎样遵守策略。图4—2描述了策略、标准和实践三者之间的关系。

为了使策略有效，应该通过员工手册、企业内部网和定期增刊对策略进行大量宣传。机构的所有员工应当认真阅读、理解，并且同意遵守机构的策略；另外， 策略需要经常性地修改和维护，需要变化时.，策略也要改进。

为了制定一个完整的信息安全策略，管理层应当定义3种类型的安全策略。 这3种类型源于（MST的800系列特别报告书，《公认[安全]原则和操作》）《NIST Special Publication 800-14》，它强调为高层管理者制定策略的需求（本章随后将更详细讨论该文献，它被推荐给参与制定策略的专业人员，在http：//csrc. nist. gov/ publications/nistpubs/800 -14. pclf.可以找到此文献）。这3种策略类型如下所述：

*企业信息安全项目策略

*基于问题的安全策略

*基于系统的安全策略

在多数机构中都可以看到每一种类型的策略。策略的一般制定步骤是，首先建立最高级策略——企业安全策略；随后，制定基于问题和基于系统的策略，以满

足总的安全策略要求，这3种策略将在随后章节详细描述。