信息安全策略制定简化方法之制定一个覆盖矩阵三
有不同的策略对象,并不必然意味着应当制定不同的文档。在信息安全手册中有可能专门为不同的对象提供不同章节或部分。这种方法是有吸引力的,因为所有策略就可在一个文档中找到,而不是需要几个文档。在单一的使用手册中, 给出所有信息安全策略有利于维护和修正。这种方法对用户同样是有吸引力的, 因为他们通常会发现自己同时在两类或多类对象中。例如,一个用户也许既是普通用户又是系统开发者。
现在,策略号码应当直接被填人矩阵表中。填号的过程通常让我们认识到, 一些对象并没有被充分考虑,正如它通常显示的那样。为了真正地反映机构的需要,某些领域需要附加策略。如果已经为不同的对象制定好策略文档的总纲,但没有使用矩阵,则这些不一致性也许就没有被揭示出来。
把所涉及的整个主题通过矩阵表分类完成后,就可编辑下一步策略文档的详细总纲。是否需要让相关利益各方评审详细总纲,取决于机构的管理层。如果不要求评审,那么也许不需要详细总纲。在这种情况下,通过使用覆盖矩阵表,就可以开始起草初始策略文档。
对于策略制定中大量不确定因素,应当制定一个详细总纲并提交审核。尽管这个过程也许延迟了时间,但它能确保最终的文档达到目标,并能真正反映机构的需要。如果只涉及到一种对象,就可以分配矩阵表,但仍然需要一个详细总纲。 不管是矩阵表还是详细总纲都是很重要的,如果缺少了其中一个,那么就有可能浪费几周的时间来制定相关主题的策略,这种风险是机构不希望看到的。
此时,必须决定对策略文档进行分类。尽管在紧接着的评审过程中可能会修改分类结果,但对矩阵表或详细总纲的分类工作仍然要做。推荐使用大量的子标题,这可以帮助读者跳过不相关的部分,快速找到相关的主题。
如果开发的策略文档规模很大或者关系很复杂,则可以使用知识映射图,它是多个概念间关系的图形描述,一般使用圆圈表示概念,而用箭头线代表概念之间的关系。一个映射图很容易转换为用于制定简略策略文档的复杂总纲。也有一些指南和软件程序可用于知识映射图的绘制和修订工作。
在完成策略制定过程之后,应当保存矩阵表、总纲和相关的工作记录。一两年后,有可能需要修订策略文档。如果修订人员能够参考原始工作记录,将节省大量的时间。如果曾经存在一些观点,既管理层没有周密地考虑风险和用于交流的策略消息,那么矩阵表和相关的工作记录也可作为法庭案例的重要信息。
类似的,工作记录应当保留l-2年,因为内部和外部的审计人员也许希望对它们进行评审。如果管理小组的成员认为,他的意见没有被纳入最后的粗略策略文档中,此时在可访问的存储位置拥有工作记录也是很重要的。