【TechTarget中国原创】时间
至少每年一次;如果你在这一年中发现过期了就要多进行几次。
什么
策略解释和调整了将应用到你的企业中的法律;作为很好实践的书写记录,你想要在企业中强调并加强,不关有没有法律含义。
为什么
策略是通用的;程序是特别的。两者你都需要:策略告诉你为什么做,标准操作程序告诉你怎么做。在成熟的企业中,所捕获的重复程序可以产生有效的改善(可以查看http://www.sei.cmu.edu,例如)。对很多企业来说,策略详细说明了丢失防护的管理部分——如何保护谁的什么东西等等。当设计系统,或者升级系统的时候,企业应该查看这些策略。当企业需要对大型问题作出回应的时候,例如萨班斯法案和联邦信息系统管理法案等,它就会特别有用。你的策略是如何满足国家的要求的,例如“……确保代理CIO(Chief Information Officer),和其他高级代理官合作,每年向代理总部灰白关于代理信息安全项目的效率问题,包括矫正措施的进程……”如果没有首先在本地层面上解决这些要求怎么办呢?你还是需要经常要执行的策略要求的程序,用于培训新人,以及处理例外的程序,因为很少执行会忘掉细节。
策略
经常使用是大型的策略文件,但是带有主题策略的较短的策略概要更容易更新。每一条微小策略的上面都需要标明范围、适用系统、参考资料、有效期、如果它占用了其他的策略/程序,策略的权威性应该属于谁以及问题和下一步的联系指向。结果的部分应该解释策略的威胁或者原因,以及违犯的法律后果和组织的影响,但是不是法律法规被违犯。当更新的时候,也要注意由于惯例和技术造成的概念和实践的不适用问题。准备以下资料:向每位注册账户或者加入企业的新人提供副本;或者在策略的每次重大更新时以电子方式发布,并且不能忘了加过符号的确认之处。例如:使用你让别人采用的实践——大家不会错过很多,如果你没有执行你所鼓吹的他们就会注意到。在你的管辖地走动一下,看看大家是怎么使用的,或者有没有使用这些策略。这会让你看到趋势、潜在的问题区域以及培训的方向等。
更多信息
我时常会查看SANS的参考资料。NIST也有很多参考,在搜索引擎中输入“安全策略模板”,搜索引擎就会提供你可以模仿的很少的选择。如果企业把他们的策略传到了网络,可以查找你所喜欢的以及有帮助的没;,然后合并到你的策略中。
上周:自我和IT员工培训
下周:支持系统监控的通栏