信息安全策略建立步驟

 確定應(yīng)用范圍

在制訂安全策略之前一個必要的步驟是確認(rèn)該策略所應(yīng)用的范圍，例如是在整個組織還是在某個部門。如果沒有明確范圍就制訂策略無異于無的放矢。

獲得管理支持

事實上任何項目的推進(jìn)都無法離開管理層的支持，安全策略的實施也是如此。先從管理層獲得足夠的承諾有很多好處，可以為后面的工作鋪平道路，還可以了解組織總體上對安全策略的重視程度，而且與管理層的溝通也是將安全工作進(jìn)一步導(dǎo)向更理想狀態(tài)的一個契機。

進(jìn)行安全分析

這是一個經(jīng)常被忽略的工作步驟，同時也是安全策略制訂工作中的一個重要步驟。這個步驟的主要目標(biāo)是確定需要進(jìn)行保護的信息資產(chǎn)及其對組織的絕對和相對價值，在決定保護措施的時候需要參照這一步驟所獲得的信息。進(jìn)行這項工作時需要考慮的關(guān)鍵問題包括需要保護什么、需要防范哪些威脅、受到***的可能性、在***發(fā)生時可能造成的損失、能夠采取什么防范措施、防范措施的成本和效果評估等等。

會見關(guān)鍵人員

通常來說至少應(yīng)該與負(fù)責(zé)技術(shù)部門和負(fù)責(zé)業(yè)務(wù)部門的人員進(jìn)行一些會議，在這些會議上應(yīng)該向這些人員灌輸在分析階段所得出的結(jié)論并爭取這些人員的認(rèn)同。如果有其它屬于安全策略應(yīng)用范圍內(nèi)的業(yè)務(wù)單位，那么也應(yīng)該讓起加入到這項工作。

制訂策略草案

一旦就應(yīng)用范圍內(nèi)的采集的信息達(dá)成一致并獲得了組織內(nèi)部足夠的支持，就可以開始著手建立實際的策略了。這個策略版本會形成最終策略的框架和主要內(nèi)容，并作為最后的評估和確認(rèn)工作的基準(zhǔn)。

開展策略評估

在之前已經(jīng)與管理層及與安全策略執(zhí)行相關(guān)的主要人員進(jìn)行了溝通，而該部分工作在之前的基礎(chǔ)上進(jìn)一步與所有風(fēng)險承擔(dān)者一同對安全策略進(jìn)行確認(rèn)，從而最終形成修正后的正式的策略版本。在這個階段會往往會有更多的人員參與進(jìn)來，應(yīng)該進(jìn)一步爭取所有相關(guān)人員的支持，至少應(yīng)該獲得足夠的授權(quán)以保障安全策略的實施。

發(fā)布安全策略

當(dāng)安全策略完成之后還需要在組織內(nèi)成功的進(jìn)行發(fā)布，使組織成員仔細(xì)閱讀并充分理解策略的內(nèi)容?？梢酝ㄟ^組織主要的信息發(fā)布渠道對安全策略進(jìn)行廣泛發(fā)布，例如組織的內(nèi)部信息系統(tǒng)、例會、培訓(xùn)活動等等。

隨需修訂策略

隨著應(yīng)用環(huán)境的變化，信息安全策略也必須隨之變化和發(fā)展才能夠繼續(xù)發(fā)揮作用。通常組織應(yīng)該每個季度進(jìn)行一次策略的評估，每年至少應(yīng)該進(jìn)行一次策略更新。

<原始發(fā)布地址：http://www.mercso.com/advertorial/securitypolicy.html>