SP 800-18:信息技术系统安全计划开发指南二
检查安排( review schedule)
在不断变化的环境中,只有周期性地检查策略的流通性和准确性,做出修改以保持及时性,才能保持策略的有效性。正如第3章中提到的一样,为了确保应有的注意,一个机构必须证明它一直都不停地尝试去适应市场的需求。这对公有机构(政府机构、学术机构以及非营利机构)和私有机构(商业机构和盈利机构)都是适用的。所以,任何策略文档都必须包含精心组织的检查安排。在通常情况下,一个策略至少要一年检查一次。策略管理员,应该从所有受到影响的团体、管理和员工的代表处索取信息,然后根据这些信息来修改文档。
检查程序和实践( review procedures and practices)
为了便于策略检查,策略管理员应该实施一种机制,能方便地对策略进行修订并对其他相应文档提出建议。建议的方法包括电子邮件、办公室邮件或一个匿名投递箱。如果这个策略是有争议的,策略管理员可能会觉得匿名投票信息是最好的方法,以此来确定策略在执行的时候是否合适。因为在公开讨论会中,很多员工对管理层感到害怕,而不敢说出对策略的真实看法。
一旦策略被提交检查的时候,应当检查所有的建议,并且做出有利于管理的改变。附加的检查方法涉及到在检查程序中引入用户代表,并且允许他们直接提出对策略回顾的意见。在现实生活中,大多数策略都是由一个单独的责任人起草,然后由一个更高层的管理者检查,或者“签署成为法律”,但是,这种方法不应该排除对员工意见的收集和检查。
策略和修订日期( policy and revision date)
在有些机构中,策略没有一个起草时间和发布时间,使得用户没有留意到这个策略的生存期或者状态。如果员工们遵从一个“过时的”策略,这种实践会造成一些问题,包括法律问题,在反复无常的环境下,这种问题特别普遍。理想的策略文档应当包含它的开始日期(如果有的话)和修订日期。有一些策略可能需要一 个“日落条款”( sunset clause),特别是当它们用于同另一个团体或机构进行短期联系时。有一个过期时间可以防止一个临时策略变成永久的错误。
最后一点需要注意之处(A final note on policy)
为避免读者认为需要策略的惟一原因是为了免于诉讼,强调策略的预防性是很重要的。策略存在的首要任务是告诉员工们,哪些行为是允许的,哪些行为是不允许的。开发策略的目的是促进员工的工作效率,并且防止潜在的尴尬情况。 最坏的情形下,一个员工可能由于不遵从策略而被开除。正如本章先前描述的那样,员工在策略方面应该受到恰当的教育。如果机构不能保证这一点,员工可台黾会为了错误的解雇而控告机构。刑事诉讼需要钱,机构可能就会因此受到经济上的损失而歇业,然后其他的员工也会失去赖以生存的工作,没有一方是最后的赢家。
在现实生活中,大部分员工出于本能愿意去做正确的事。如果在什么是允许的、什么是不允许的这个问题上给予恰当的教育,他们会选择遵从规定行为。大部分人都更喜欢能提供公平待遇的系统。如果他们知道犯错应受惩罚,当有人犯错被抓到并受到惩罚时,就不会引起不满。知道什么是禁止的以及会受到什么样的惩罚,惩罚会怎样执行,这是一个使员工专注于其手头工作的好办法。
除了法律规定的“没有被禁止就是被许可”之外,策略就代表着公司内部的法律。尽管在法律上反过来说也可以,但是策略却不行,并没有“没有被许可的就是被禁止”的默认说法。