| |
安全策略应适合单位的实际情况,否则用户们有可能对其掉以轻心。而且策略应当遵循法律法规和一致性要求,这会使得策略更有权威性。
策略应当适用于哪些人?
安全策略应当适用于单位所有机构的任何用户。其中也包括顾问和外国的实体,而不管这些用户是本地的还是远程的。没有考虑到某个用户将导致暴露公司资源的后果,因此在任何实体使用单位的设施之前都要保证其阅读并同意了安全策略,这一点很重要。
技术控制
如今,反病毒、备份、内容过滤、防火墙、端点加密、反恶意软件工具等技术控制手段有很多。应当在安全策略中涉及到这些技术控制,并应当描述如何实施这些控制来保护单位的资源。破坏、删除或变更这种控制的行为应当给以禁止。举个例子,在笔者负责审计一家大型企业时,发现一个安全损害是由于损害了某项技术控制措施引起的。这种策略如果不提及技术控制,也不清晰地表明用户应当怎样行动,它还有什么价值呢?
策略应当涉及到用户个体应当如何处理单位的数据,这包括以一种安全的方式存储数据、传输数据、处理数据。
报告
对技术控制进行报告也是很重要的,因为这会确保用户了解哪些是违规的,也可以保障单位知晓风险和暴露程度。不了解用户是如何暴露公司的资源等同于单位没有安全策略。
小结
本文探讨了在编制高效的安全策略时需要考虑的几个问题。应当指出,一个安全专业人士应当比较各种信息并编制其自己的安全策略。笔者期望本文对IT管理人员或安全管理人员有益。 |
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
