策略、標(biāo)準(zhǔn)和實(shí)踐

策略被定義為“政府、政黨或者商業(yè)機(jī)構(gòu)的一套行動(dòng)計(jì)劃或步驟，旨在影響和決定決策、行為及其他方面”。換句話說(shuō)，策略包含一套規(guī)則，規(guī)定了在機(jī)構(gòu)內(nèi)可接受和不可接受的行為。策略應(yīng)當(dāng)詳細(xì)規(guī)定怎樣處罰違規(guī)行為，并定義上述規(guī)程。策略的一個(gè)運(yùn)用實(shí)例就是禁止在工作場(chǎng)所瀏覽不適宜的網(wǎng)站。為了執(zhí)行策略，機(jī)構(gòu)必須實(shí)施一套標(biāo)準(zhǔn)，以準(zhǔn)確定義在工作場(chǎng)所哪些行為是違反規(guī)定的，以及機(jī)構(gòu)對(duì)該行為的懲罰標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是對(duì)策略的行為規(guī)則更詳細(xì)的描述。在實(shí)施過(guò)程中，機(jī)構(gòu)應(yīng)當(dāng)針對(duì)各種違規(guī)行為制定一套標(biāo)準(zhǔn)，并列出這些行為的詳細(xì)資料。 然后，應(yīng)當(dāng)采用技術(shù)控制和相關(guān)的過(guò)程，防止機(jī)構(gòu)人員訪問(wèn)色情網(wǎng)站。實(shí)踐、過(guò)程和指導(dǎo)方針解釋了員工應(yīng)當(dāng)怎樣遵守策略。圖4—2描述了策略、標(biāo)準(zhǔn)和實(shí)踐三者之間的關(guān)系。

為了使策略有效，應(yīng)該通過(guò)員工手冊(cè)、企業(yè)內(nèi)部網(wǎng)和定期增刊對(duì)策略進(jìn)行大量宣傳。機(jī)構(gòu)的所有員工應(yīng)當(dāng)認(rèn)真閱讀、理解，并且同意遵守機(jī)構(gòu)的策略；另外， 策略需要經(jīng)常性地修改和維護(hù)，需要變化時(shí).，策略也要改進(jìn)。

為了制定一個(gè)完整的信息安全策略，管理層應(yīng)當(dāng)定義3種類型的安全策略。 這3種類型源于（MST的800系列特別報(bào)告書，《公認(rèn)[安全]原則和操作》）《NIST Special Publication 800-14》，它強(qiáng)調(diào)為高層管理者制定策略的需求（本章隨后將更詳細(xì)討論該文獻(xiàn)，它被推薦給參與制定策略的專業(yè)人員，在http：//csrc. nist. gov/ publications/nistpubs/800 -14. pclf.可以找到此文獻(xiàn)）。這3種策略類型如下所述：

*企業(yè)信息安全項(xiàng)目策略

*基于問(wèn)題的安全策略

*基于系統(tǒng)的安全策略

在多數(shù)機(jī)構(gòu)中都可以看到每一種類型的策略。策略的一般制定步驟是，首先建立最高級(jí)策略——企業(yè)安全策略；隨后，制定基于問(wèn)題和基于系統(tǒng)的策略，以滿

足總的安全策略要求，這3種策略將在隨后章節(jié)詳細(xì)描述。