信息安全策略是信息安全項目的基石。它應當反映一個企業的安全目標，以及企業為保障信息安全而制定的管理策略。因此，為了實施信息安全策略的后續措施，管理人員必須取得一致意見。在策略的內容問題上存在爭論將會影響后續的強化階段，其結果就是導致信息安全項目“發育不良”。這意味著，為了編制信息安全策略文檔，企業必須擁有明確定義的安全目標，以及為保障信息安全而編制的管理策略。

安全與管理不能分家

市場上集成了安全策略的產品中，很少有哪種方案能夠同時讓安全專家和管理人員都滿意。試圖教育管理人員如何思考安全問題并非恰當的方法。相反，構建安全策略的首要一步是明確管理部門如何看待安全。因為，所謂的安全策略就是關于信息安全的一套管理要求，這些要求向安全專業人員提供了規范指南。另一方面，安全專業人員向管理人員提供規范指南，容易忽略管理需求。

安全專業人員應當吸取管理人員的觀點，不妨向其“討教”下面這些與信息安全有關的問題：

1、你如何描述自己所接觸的信息類型？

2、你依賴哪類信息做出決策？

3、有沒有哪些信息比其它信息更加需要保密？

根據這些問題，就可以制定信息分類系統（例如，形成客戶信息、財務信息、銷售信息等），每種信息系統的正確處理過程都可在業務處理層次上描述。

當然，老練的安全專家還可提供獨到的建議，從而影響管理人員關于組織策略的管理觀點。一旦安全專家完全理解了管理部門的觀點，就有可能介紹一個與管理部門一致的安全框架。該框架將會成為企業信息安全項目的基石，為構建信息安全策略提供指南。

通常，安全業的標準文檔被用作基準框架。這種方法很合理，因為它既有助于確保公司管理層充分地接受策略，也有利于外部審核者和參與企業信息安全項目的其它人接受。

然而，這些文檔從其本質上說并不具體，并不描述特定的安全管理目標。所以它們必須與管理部門的信息相結合，才能產生策略指南。此外，為了保持與標準文檔的一致性，期望管理部門改變其管理方式也不合理。但是，信息安全專業人員可以從這些文檔中獲取良好的安全管理方法，并可以看出是否可以將其整合到企業當前的結構中。

保證安全策略的可行性

安全策略應當反映真正的實踐。否則，策略發布之時，即企業違規之時。要保持策略的簡易可行，信息安全項目要能夠強化策略，同時又可以解決存在爭論的問題。

保持策略簡易的另外一個原因是，人們都清楚策略并不存在例外情況，因而他們會更愿意預先保持策略的可行性，其目的是為了保證自己能夠遵循策略。如果你的策略中出現了這樣的語句，“經由主管經理同意，可以不受該策略的約束”，那么，策略文檔就毫無價值了。策略文檔就不再代表管理部門對信息安全項目的許諾，而是代表策略將無法實施。在遵循信息安全策略時，必須能夠與遵循企業內部的其它策略一樣處于同等水平。策略的言辭必須能夠確保得到主管人員的完全同意。

例如，假設在是否準許用戶訪問可移動媒體（如USB存儲設備）的問題上存在著爭論。安全專業人員相信絕對不應當準許這種訪問，而技術經理可能會認為負責數據操作的技術實施部門必須可以將數據移動或復制到任何介質上。在策略水平上，受到多數人意見的推動，將會出現這樣的表述，“對移動介質設備的所有訪問要得到主管經理的認可。”技術主管經理認可過程的細節可以進一步討論和協商。而一般性的策略表述仍要阻止任何人在沒有得到主管經理同意的情況下使用移動存儲介質。

在大型企業中，策略遵循的細節可能大相徑庭。在這種情況下，根據人員(員工)來區分策略就比較恰當。整個企業范圍內的策略將成為一種全局策略，它包括信息安全方面最常見的范圍和規范。不同的分支機構需要發布自己的策略。如果子策略文檔的人員在公司范圍內有著確切的定義，這種分布式策略就極為有效。在這種情況下，為了更新這些文檔，不必謀求同層管理部門的許可。

例如，信息技術的操作策略應當僅需要信息技術部門的領導許可，當然，它要與全局的安全策略保持一致，并僅將管理部門的許可增加到全局的安全策略中。策略應當包含這種表述，如“僅有授權的管理員能夠對操作系統作出更改”。還有，“僅能在獲得授權的變更控制過程中才能訪問普通ID的口令”。

信息安全策略應當包含哪些方面？

那么，信息安全策略中應當至少包含哪些信息呢？這種策略應當至少足以傳達關于安全方面的管理目標和方向，因而它應當包含：

1、范圍。它應當涉及企業內所有信息、系統、設施、程序、數據、網絡、所有的技術用戶，絕無例外。

2、信息分類。策略應當提供特定內容的定義而不是一般化的“機密”或“限制”。

3、在每種信息分類中安全信息處理的管理目標。例如，法律、法規、安全方面的合同義務等，這些都可以整合，并表述為通用的目標，如“客戶的私密信息不應當以明文形式授權給除客戶代表之外的任何人，并且僅能用于與客戶交流的目的。”

4、其它管理要求和補充文檔的策略布置（例如，它要由所有主管階層的同意，所有的其它信息處理文檔必須與其保持一致。）

5、用于參考的證明文件（例如，流程、技術標準、程序、指南等。）

6、對企業范圍內行之有效的安全要求和規范的具體規定。（例如，對任何計算系統的所有訪問都要求身份確認和驗證，不能共享個人的認證機制）。

7、指明確切、具體的責任。（例如，技術部門是電信線路的唯一提供者。）

8、違反策略（不合規）時所面臨的后果（例如，解聘或合同中止等）。

上述清單足以保證信息安全策略的完整性，當然，其前提條件是，規定具體安全措施的責任要在“輔助文檔”和“責任”部分進行定義和描述。雖然第6和7兩個方面可能包含許多關于安全措施的其它細節，為了保證策略的可讀性，應設法減少其數量，并依靠子策略或證明文檔來包含各種要求。再有，在策略水平上的完整合規比讓策略包括大量的細節更為重要。

注意，策略的形成過程在策略文檔之外。關于策略的核準、更新和版本控制應當謹慎保留，并且在審計策略的過程中要保持其可用性。

原文鏈接：http://netsecurity.51cto.com/art/201101/243941.htm