河南北大青鸟:企业信息安策略的编制
信息安策略是信息安项目的基石。它应当反映一个企业的安目标,以及企业为保障信息安而制定的管理策略。因此,为了编制信息安策略文档,企业必须拥有明确定义的安目标,以及为保障信息安而编制的管理策略。为了实施信息安策略的后续措施,管理人员必须取得一致意见。
河南北大青鸟就企业信息安策略怎么样编写,给大家详细的介绍一下。
安与管理不能分家
市场上集成了安策略的产品中,很少有哪种方案能够同时让安专家和管理人员都满意。试图教育管理人员如何思考安问题并非恰当的方法。相反,构建安策略的要一步是明确管理部门如何看待安。因为,所谓的安策略就是关于信息安的一套管理要求,这些要求向安专业人员提供了规范指南。另一方面,安专业人员向管理人员提供规范指南,容易忽略管理需求。
安专业人员应当吸取管理人员的观点,不妨向其“讨教”下面这些与信息安有关的问题:
1、你如何描述自己所接触的信息类型?
2、你依赖哪类信息做出决策?
3、有没有哪些信息比其它信息更加需要保密?
根据这些问题,就可以制定信息分类系统(例如,形成客户信息、财务信息、销售信息等),每种信息系统的正确处理过程都可在业务处理层次上描述。
当然,老练的安专家还可提供到的建议,从而影响管理人员关于组织策略的管理观点。一旦安专家完理解了管理部门的观点,就有可能介绍一个与管理部门一致的安框架。该框架将会成为企业信息安项目的基石,为构建信息安策略提供指南。
通常,安业的标准文档被用作基准框架。这种方法很合理,因为它既有助于确保公司管理层充分地接受策略,也有利于外部审核者和参与企业信息安项目的其它人接受。
然而,这些文档从其本质上说并不具体,并不描述定的安管理目标。所以它们必须与管理部门的信息相结合,才能产生策略指南。此外,为了保持与标准文档的一致性,期望管理部门改变其管理方式也不合理。但是,信息安专业人员可以从这些文档中获取良好的安管理方法,并可以看出是否可以将其整合到企业当前的结构中。
保证安策略的可行性
安策略应当反映真正的实践。否则,策略发布之时,即企业违规之时。要保持策略的简易可行,信息安项目要能够强化策略,同时又可以解决存在争论的问题。
保持策略简易的另外一个原因是,人们都清楚策略并不存在例外情况,因而他们会更愿意预先保持策略的可行性,其目的是为了保证自己能够遵循策略。如果你的策略中出现了这样的语句,“经由主管经理同意,可以不受该策略的约束”,那么,策略文档就毫无价值了。策略文档就不再代表管理部门对信息安项目的许诺,而是代表策略将无法实施。在遵循信息安策略时,必须能够与遵循企业内部的其它策略一样处于同等水平。策略的言辞必须能够确保得到主管人员的完同意。
例如,假设在是否准许用户访问可移动媒体(如USB存储设备)的问题上存在着争论。安专业人员相信绝对不应当准许这种访问,而技术经理可能会认为负责数据操作的技术实施部门必须可以将数据移动或复制到任何介质上。在策略水平上,受到多数人意见的推动,将会出现这样的表述,“对移动介质设备的所有访问要得到主管经理的认可。”技术主管经理认可过程的细节可以进一步讨论和协商。而一般性的策略表述仍要阻止任何人在没有得到主管经理同意的情况下使用移动存储介质。
在大型企业中,策略遵循的细节可能大相径庭。在这种情况下,根据人员(员工)来区分策略就比较恰当。整个企业范围内的策略将成为一种局策略,它包括信息安方面较常见的范围和规范。不同的分支机构需要发布自己的策略。如果子策略文档的人员在公司范围内有着确切的定义,这种分布式策略就极为有效。在这种情况下,为了更新这些文档,不必谋求同层管理部门的许可。
例如,信息技术的操作策略应当仅需要信息技术部门的许可,当然,它要与局的安策略保持一致,并仅将管理部门的许可增加到局的安策略中。策略应当包含这种表述,如“仅有授权的管理员能够对操作系统作出更改”。还有,“仅能在获得授权的变更控制过程中才能访问普通ID的口令”。
信息安策略应当包含哪些方面?
那么,信息安策略中应当至少包含哪些信息呢?这种策略应当至少足以传达关于安方面的管理目标和方向,因而它应当包含:
1、范围。它应当涉及企业内所有信息、系统、设施、程序、数据、网络、所有的技术用户,绝无例外。
2、信息分类。策略应当提供定内容的定义而不是一般化的“机密”或“限制”。
3、在每种信息分类中安信息处理的管理目标。例如,法律、法规、安方面的合同义务等,这些都可以整合,并表述为通用的目标,如“客户的私密信息不应当以明文形式授权给除客户代表之外的任何人,并且仅能用于与客户交流的目的。”
4、其它管理要求和补充文档的策略布置(例如,它要由所有主管阶层的同意,所有的其它信息处理文档必须与其保持一致。)
5、用于参考的证明文件(例如,流程、技术标准、程序、指南等。)
6、对企业范围内行之有效的安要求和规范的具体规定。(例如,对任何计算系统的所有访问都要求身份确认和验证,不能共享个人的认证机制)。
7、指明确切、具体的责任。(例如,技术部门是电信线路的提供者。)
8、违反策略(不合规)时所面临的后果(例如,解聘或合同中止等)。
上述清单足以保证信息安策略的完整性,当然,其前提条件是,规定具体安措施的责任要在“辅助文档”和“责任”部分进行定义和描述。虽然第6和7两个方面可能包含许多关于安措施的其它细节,为了保证策略的可读性,应设法减少其数量,并依靠子策略或证明文档来包含各种要求。再有,在策略水平上的完整合规比让策略包括大量的细节更为重要。
北大青鸟郑州翔天信鸽提醒:策略的形成过程在策略文档之外。关于策略的核准、更新和版本控制应当谨慎保留,并且在审计策略的过程中要保持其可用性。