为什么要有策略?
一个高质量的信息安全项目由策略开始,也由策略结束。正确制定和实施的策略几乎能够使信息安全项目在工作场所无误地发挥作用。尽管信息安全策略是最廉价的实施控制方式,但它们通常也是最难实施的。策略控制花费的仅仅是管理组创建、批准、交流策略所用的时间和精力,以及员工把策略整合形成日常行为规范所用的时间和精力。即使是管理组雇请机构外的顾问来辅助策略制定,与其他控制形式(特别是技术控制)相比,其花费也是最小的。
制定一个策略时必须遵守一些基本规则:
*策略不能与法律相冲突
*如果受到质疑,在法庭上策略也应站得住脚j策略必须被恰当地支持和管理
*Bergeront和Berube承认,通常策略执行起来很困难,为了使计算机策略的表述规范化,他们提出了有建设性的指导方针,这些方针也直接适用于信息安全策略:
①所有策略应当有助于机构的成功。
②为了正确地使用信息系统,管理层应当确保责任的合理分配。
③信息系统的最终用户必须参与策略的规范化过程。
Bergero进一步指出,策略必须适应机构的具体需求,虽然策略的完整性和全面性是一个值得期待的目标,策略过多或过于复杂会降低最终用户的满意度。
在信息安全项目中,靶心模型( bull's-eye model)就是一种强调策略作用的模型。因为它提供了一种已被证明了的机制,该模型按策略作用的复杂程度划分优先次序,已为信息安全专业人员广泛接受。在此模型中,问题的提出是从一般到具体到特殊,也总是以策略为起始点,也就是侧重于系统的解决方案而不是针对个别问题,图4-1展示了靶心模型的4个层次:
①策略——靶心模型的最外层。
②网络——在该层,机构的网络基础设施将遭遇来自公共网络的威胁。过去,安全人员的多数信息安全工作侧重于网络,直到最近,信息安全还通常被认为是网络安全的同义词。
③系统——用来作为服务器的计算机、台式电脑以及过程控制系统和制造系统。
④应用程序——所有的应用系统,包括打包的应用程序(例如办公自动化和电子邮件程序)、高端的企业资源计划包、机构所开发的客户应用软件。
不管是使用靶心模型或者其他的任何方法,除了制定一个健全的、可用的IT 和信息安全策略以及策略的交流和实施等工作以外,不应该把额外资源花费在其他的控制工作上。
Charles Cresson Wood归纳了如下几条需要策略的理由:
策略是进行内部审计的重要参考文档,同时也是解决管理工作中的法律问题的重要参考文档,策略文档也可以更清晰地展现管理层的意图。