安全方针及策略是由高级管理层制定的一份全面声明,规定了安全在组织内扮演的角色。在组织安全方针中,管理层确定如何建立安全规划、列出计划目标、分配职责、说明安全的战略和战术价值,并概述应该如何执行安全计划。安全方针必须涉及相关法律、法规和责任问题,还必须涉及如何遵从这些规定。组织安全方针为组织内所有未来的安全活动提供范围和方向,还说明了高级管理层愿意接受的风险程度。
组织安全方针有几个必须理解和实现的重要特征:
组织业务目标驱动安全方针的创建、实现和执行。安全方针不应该阻碍业务目标的实现。
组织安全方针应该是一份为管理层和全体员工提供参考的、易于理解的文档。
组织安全方针应建立、实现安全性,并将其集成到所有业务功能和流程中。
组织安全方针应借鉴并支持适用于公司的所有法律法规。
组织安全方针应随公司的发展变化(如采用新的商业模式、与其他公司合并或所有权发生变更)进行审核和修订。
组织安全方针的每一次更迭都应注明日期,并严格进行版本控制。
组织安全方针监管的部门和个人必须能方便地查看该方针的内容相应贯彻实施的安全策略8. 通常发布在内联网的门户上。
组织安全方针的每一次更迭都应注明日期,并严格进行版本控制。
组织安全方针监管的部门和个人必须能方便地查看该方针的内容相应贯彻实施的安全策略通常发布在内联网的门户上。
组织安全方针制定应考虑未来几年的状况。这有助于确保策略具有足够的前瞻性,以应对可能发生的变化。
组织安全方针表述的专业水平能强化其重要性以及遵从的必要性。
组织安全方针中不应包含任何无法理解的行文风格。必须使用清晰、易于理解和令人可接受的陈述性声明。
定期对组织安全方针进行审核,并根据自上一次审核和修订以来发生的事件加以修订。
组织策略也称为主安全策略。一个组织将有许多策略,这些策略应采用体系化方式建立。组织策略位于最高层面,其下是针对具体安全问题的详细策略。后者也称为特定问题策略。 特定问题策略也称为功能策略,主要处理管理层认为需要更多详细解释和关注的特定安全问题,保证能建立一个完善的安全结构,使所有员工都了解应当如何遵从这些安全策略。例如,某个组织可能选择一个电子邮件安全策略,规定管理层在开展持续监测活动时,允许或不允许查看员工的哪类电子邮件信息,指定员工可以或不可以使用哪些电子邮件功能,以及解决特定的隐私问题。
下面列出常见的安全策略的层级,说明了主策略和支持主策略的特定问题策略之间的关系:
组织安全策略
可接受的适用法规策略
风险管理策略
脆弱性管理策略
数据保护策略
访问控制策略
业务连续性策略
日志聚合和持续审计策略
人员安全策略
物理安全策略
安全的应用程序开发策略
变更控制策略
电子邮件策略
安全事故响应策略
<关注下方公众号系列好文持续推送>
