安全策略中的目标声明以及授权访问和设备的使用
2018-02-27 16:32:04 | 来源:中培企业IT培训网
目标声明
ISSP应该以一个清晰的目标声明开始,这个目标概括了策略的范围和适用性。它解决以下问题:这个策略服务于什么目标?由谁来负责实施策略?策略文档涉及到哪些技术问题?
授权访问和设备的使用
在这项策略声明中,解释了谁可以使用策略所规定的技术,用于什么目的。 记住,机构的信息系统是该机构的专有财产,用户并没有特殊的使用权。每项技术和操作都是为业务活动提供的。该部分规定了以“公正和负责任的使用”方式使用设备和机构的其他资产,并且阐述了关键法律问题,例如个人信息和隐私的保护。严格说来,只要不是在“设备误用”中明确规定了的范围,策略就允许员工把这些规定的技术和资产用于任何目的。当管理层允许员工把技术或资源用于某种目的,或者用于机构的额外目标时(例如使用公司系统和网络收发非商业性的个人e -mail),要求这些使用行为必须在策略允许的范围之内。
设备的禁止使用
前面章节说明了设备使用的问题和技术范围,而这部分阐述了禁止使用的范围。一个具体的使用范围除非被明确的禁止,否则机构不能因为使用它而惩罚员工。例如,以下活动可能被禁止:私人使用、破坏性使用或者误用、冒犯或者侵扰的材料,以及侵犯版权、未经批准的东西和其他涉及知识产权的活动。注意:一个机构可以灵活地组合授权访问、设备的使用和设备的禁止使用这3部分内容,形成“恰当的使用策略”。