信息安全策略制定简化方法之组织评审、批准和实施过程一
组织评审、批准和实施过程
一旦信息安全策略文档初稿完成,就应当对其评审。对反馈意见进行修改以后,策略文档就应当被送到有关的内部人员处(如内部审计管理和知识产权部门的律师)。几个关键支持部门做出修改以后,就准备由信息安全管理委员会评审。 评审的下一步流程会分配给更多的相关部门,例如,所有的信息所有者和信息系统中所雇佣的人员。该评审过程是可取的,因为它通过预先分发文档给这些关键部门并获得它们的支持,使该过程建立在它们支持的基础之上。
许多评审周期,其每一步都会给策略文档带来变化,因而常常是必要的。应该把这看成是模式化的过程,而不应该看作是个人行为。多重评审部分反映了这样一个事实,那就是信息安全策略的制定过程具有很高的政策性、受情感支酉己以及高度的开放性。反复的评审过程能够让策略更加清晰、简洁并冉旨对主流形势作出反映,为此评审的观点应当受到欢迎。两个指导性的附录提供了关于该过程的附加信息,若需要更多的信息,参见“策略制定过程的步骤清单”。
评审过程的最后一步一般由总经理、总裁、首席执行宫或者董事会主席签名。必须有一条简洁消息,以表明希望能予以遵守并且这是继续雇用的条件, 应当在策略文档的第一页就可以找到该消息,如果它在内部网服务器上,就应该把它放在开放的网页。该消息要放在显眼的位置,并有高层管理者的签名, 这样读者就确信该策略文档受到高层领导强有力的支持。如果让首席执行官签名不现实,那有首席信息官的签名也行。要注意仅有信息安全部门主管或同级的部门主管的签名,一般不足以表明高层管理者的同意和支持。虽然获得高层管理者的同意听起来就像不必要的交易,但经验表明,高层的签名和希望遵守的附加信息对于策略的广泛采纳是非常重要的。在策略文档得到管理层批准前,它已经得到了机构内部各方多次评审和修订,或许最令人满意的评审方是信息安全管理委员会。
一般说来,信息安全委员会由机构内部信息安全利益团体的代表组成,参与者包括来自以下各部门的成员:信息安全、内部审计、风险管理、物理安全,信息系统、人力资源、法律、财政和会计部以及各种用户部门。这样一个委员会本质上是监督信息安全部门的工作,它负责筛选和提炼已提交的策略、过程、组织结构和另外的信息安全创意,以便在整个组织内为大家所乐意接纳和实施。在大多数的情形下,信息安全管理层设计一个信息安全策略粗稿,然后提交管理委员会评审和批准。