如何进行开发一个全面的安全策略

　　其实基于安全策略概述安全网络生命周期是一个随网络变化对设备和安全需求进行评定和重新评估的过程。这种持续评估的一个重要方面是理解那些资产是一个组织必须保护的,即使这些资产发生变化。回答以下问题来确定一个组织的资产是什么。组织的哪些东西是其他组织想要的?什么过程、数据或信息系统对组织很关键能使组织停止运营或无法达成任务的是什么?

　　其实对于对上述问题的答案可能会标识出以下资产:关键数据库、关键应用程序、重要的客户和雇员信息、机密商业信息、共享享驱动器、邮件服务器以及web服务器网络安全系统帮助保护这些资产,但只有安全系统不能阻止资产免受成胁。如果最终用户群不能严格遵守安全策略和规程,那么技术的、管理的、物理的安全系统都将于事无补。

　　安全策路是公司的一组安全目标、用户和管理员的行为规则以及系统需求,这些目标,规则和需求一起确保一个组织内的网络和计算机系统的安全。与连续性计划非落相似,安全策路是一个基于技术、业务和雇员的需求变化不断发展的文档一个全面的安全策略能带来以下益处。

　　展示一个组织实现安全的决心。设立所期望行为的规则确保系统操作、软硬件购置和使用、维护的一致性定义违反行为的法律后果为安全人员提供管理层支持安全策略将一个组织保护技术和信息资产的要求告知用户、员工和管理者。

　　安全策略还规定了满足安全要求所需的机制,并提供基线指导获得、配置和审计计算机系统和网络。最常见的一个安全策略组件是可接受的使用策略(acceptable/appropriateusepolicy,AUP),这组件定义用户在各种系统组件上可以做f什么、不可以做什么,这包括在网络上允许的流量类型。AUP应该尽可能地明确以避免误解。例如,AUP可以列出禁止公司计算机或从公司网络访间的Web站新间组或商集的用时间的人员,内部受众包括不同人员,业务单位、技术人员和职员。

　　外部受众也是不同的组,包括合作伙伴、客户、供应商、顾问、承包商。对于一个大型组织,有可能一份文档无法满足全部需求。目标是确保不同的信息安全策略文档与受众决定策略的内容。例如,在一份面向技术人员的策略中可能不需要描述为什么某事是必需的,可以假定技术人员已经知道为什么要包含一项特定要求。

　　小编结语：管理者可能对于为什么需要一项特定目标受众的需求一致。要求的技术方面不感兴趣,相反,他们更希望看到一个概要介绍或支持这一要求的原理。员经常要求得到更多信息解释为什么某项安全规则是必需的。如果他们理解制订这些规则的原因,他们往往能更好地遵守规则。