实施阶段
在实施阶段中,策略制定团队开始制定策略。这可能是一个富有挑战性的过程,但一份好的策略文档并不必从头开始。有许多可供你支配的资源,包括:
*网络,你可以在上面搜索其他相似的策略。这里并不是要提倡大量地抄袭这些策略,而是鼓励你寻求在你的策略当中应该蕴涵的思想。例如,网络上有大量的关于公平和负责地使用各种技术的可用策略。但你可能找不到与敏感的内部文档和程序有关的策略。
*政府站点,如:http://csrc.nist.gOv和http://fasp. nist. gov/fasp/,其中含有许多策略示例和策略支持文档,包括SP800-12,An Introclucti'on to Computer Security:The NIST Hanclbook。当这些策略是特别针对或适用于联邦政府网站时,可以用其中一部分来满足你的机构的需要。
*专业文献,几位作者——其中最富盛名的:Charles Cresson Wood-已经出版了一些有关该课题的书籍。极其有名的是他的Information Security Policies Made Easy,该书不仅提供了超过l 000页的策略,而且还将这些策略形成电子格式,结尾部分注明了允许把它们用于内部文档。但使用这些资源时存在着使用警告,我们也许很容易就得到很多章节的策略,然而却是大量既不能出版也不能执行的文档。
*对等网络,其他信息安全专业人员需要制定相似的策略和执行相似的计划。
参加由信息系统安全协会( 州r.lssa. org)召开的会议,邀请你的同事一起参加(像开篇章节中讲述的Iris所做的那样)。
专业顾问,在信息安全领域,策略制定工作无疑是由机构内部完成的,但如果你实在没有时间,那么,聘请外部顾问就是最后的选择了。记住,没有顾问能够比你更了解机构,顾问也只能简单地制定一般性策略,而你则要根据具体情况来采用。
在实施阶段,策略制定团队必须确保依照一定的标准:
确定策略是可实施的,一项不可行的策略,比如禁止员工之间讨论私人事务, 是无效的策略。
准备策略发布,这项工作并不总是如你想象的那样简单。光是在电子公告牌上传达策略是不够的,除非需要员工在指定时间(每日、每周等)阅读电子公告牌。策略在最终用户获知以前,不能强制执行。与民法和刑法不同的是, 对策略的忽视,在其宣传不力时,还是可接受的。在某些情况下,必须极力宣传策略或用其他语言和形式提供策略。
确定策略具有可读性,减少技术和管理术语,可读性统计是确定阅读水平的有用工具,它在多数产品程序组如Microsoft Worcl中均有提供。图4-9显示了该部分的可读性统计。
维护阶段
在维护阶段,策略制定团队根据需要监控、维护以及修改策略,以确保其始终是对付威胁变化的有效工具。策略应当具有一种固定的机制,用户通过它可以报告策略存在的问题,若是能够匿名则更好。