SP 800-18:信息技术系统安全计划开发指南
NIST特别报告书800-18强调了策略管理的方法。因为策略是不停变化发展的动态文档,机构不能只是创建了一批重要的文档,就把它们搁置在一边,相反, 这些文档必须得到恰当的传播(分发、阅读、理解以及支持)和管理。策略开发和维护方面的优秀管理经验可以让一个机构在遭受打击后能更容易恢复,例如,所有策略,包括安全策略,在公司合并和回收股权时都会承受巨大的压力。在这种情况下,变化经常都会发生,而且员工们都处于一种不确定的状态并面对很多困惑,这些压力能暴露安全策略管理中的弱点。如果两个公司合并之后,仍然有不同的策略,要在这种情况下实施安全控制是非常困难的。同样,当一个有统一策略的公司一分为二时,这两个公司的策略需求都发生了变化,必须改变以适应新的情况。
对于当前的可行策略,必须有一个责任人来负责安排检查,定义检查操作与程序,并确保策略和修订数据的提交。
责任人(responsible individual)
信息系统和信息安全项目必须有一个监督者( champion)和管理者,策略也一 样。策略监督者和管理者叫做策略管理员( policy administrator),一般情况下,这个人是一个负责创建、修订、分发、保存策略的中级职员。需要注意的是,策略管理员并不一定是一个技术高手。当进行信息安全实践时,专家需要有广博的技术知识,但是策略管理和策略管理员只需要有适当的技术背景就可以了。策略管理员从技术熟练的信息安全专家和每个利益团体中致力于业务的管理者处索取信息,作为回报,当对机构策略做出修改之后,会通告所有会受到影响的人。
当一个需要上百个工作时来开发的策略被放人活页文档夹,然后被放置在管理者的书架上与灰尘为伴时,这实在是一件令人气馁的事。一个优秀的策略管理员能阻止这种事情,他需要做的是:确保策略文档和所有随后的修订都得到恰当的分发。策略管理员必须在策略文档上明确地指出一个主要联系人,以提供对策略的额外信息或修订建议。