為什么要有策略？

一個高質(zhì)量的信息安全項(xiàng)目由策略開始，也由策略結(jié)束。正確制定和實(shí)施的策略幾乎能夠使信息安全項(xiàng)目在工作場所無誤地發(fā)揮作用。盡管信息安全策略是最廉價的實(shí)施控制方式，但它們通常也是最難實(shí)施的。策略控制花費(fèi)的僅僅是管理組創(chuàng)建、批準(zhǔn)、交流策略所用的時間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時間和精力。即使是管理組雇請機(jī)構(gòu)外的顧問來輔助策略制定，與其他控制形式（特別是技術(shù)控制）相比，其花費(fèi)也是最小的。

制定一個策略時必須遵守一些基本規(guī)則：

*策略不能與法律相沖突

*如果受到質(zhì)疑，在法庭上策略也應(yīng)站得住腳j策略必須被恰當(dāng)?shù)刂С趾凸芾?/p>

*Bergeront和Berube承認(rèn)，通常策略執(zhí)行起來很困難，為了使計算機(jī)策略的表述規(guī)范化，他們提出了有建設(shè)性的指導(dǎo)方針，這些方針也直接適用于信息安全策略：

①所有策略應(yīng)當(dāng)有助于機(jī)構(gòu)的成功。

②為了正確地使用信息系統(tǒng)，管理層應(yīng)當(dāng)確保責(zé)任的合理分配。

③信息系統(tǒng)的最終用戶必須參與策略的規(guī)范化過程。

Bergero進(jìn)一步指出，策略必須適應(yīng)機(jī)構(gòu)的具體需求，雖然策略的完整性和全面性是一個值得期待的目標(biāo)，策略過多或過于復(fù)雜會降低最終用戶的滿意度。

在信息安全項(xiàng)目中，靶心模型( bull's-eye model)就是一種強(qiáng)調(diào)策略作用的模型。因?yàn)樗峁┝艘环N已被證明了的機(jī)制，該模型按策略作用的復(fù)雜程度劃分優(yōu)先次序，已為信息安全專業(yè)人員廣泛接受。在此模型中，問題的提出是從一般到具體到特殊，也總是以策略為起始點(diǎn)，也就是側(cè)重于系統(tǒng)的解決方案而不是針對個別問題，圖4-1展示了靶心模型的4個層次：

①策略——靶心模型的最外層。

②網(wǎng)絡(luò)——在該層，機(jī)構(gòu)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施將遭遇來自公共網(wǎng)絡(luò)的威脅。過去，安全人員的多數(shù)信息安全工作側(cè)重于網(wǎng)絡(luò)，直到最近，信息安全還通常被認(rèn)為是網(wǎng)絡(luò)安全的同義詞。

③系統(tǒng)——用來作為服務(wù)器的計算機(jī)、臺式電腦以及過程控制系統(tǒng)和制造系統(tǒng)。

④應(yīng)用程序——所有的應(yīng)用系統(tǒng)，包括打包的應(yīng)用程序（例如辦公自動化和電子郵件程序）、高端的企業(yè)資源計劃包、機(jī)構(gòu)所開發(fā)的客戶應(yīng)用軟件。

不管是使用靶心模型或者其他的任何方法，除了制定一個健全的、可用的IT 和信息安全策略以及策略的交流和實(shí)施等工作以外，不應(yīng)該把額外資源花費(fèi)在其他的控制工作上。

Charles Cresson Wood歸納了如下幾條需要策略的理由：

策略是進(jìn)行內(nèi)部審計的重要參考文檔，同時也是解決管理工作中的法律問題的重要參考文檔，策略文檔也可以更清晰地展現(xiàn)管理層的意圖。