基于間題的安全策略

一個健全的基于問題的安全策略（ISSP，Issue-Specific .Se。urity Policy）提供了詳細的、目標明確的指南，以此來指導所有機構成員如何使用基于技術的系統。 ISSP應該首先介紹機構的基本技術理念。它應該讓機構成員認識到，策略的目標不是為機構的信息系統遭受破壞后起訴有關責任人提供法律依據，而是為了就哪些技術能否應用到系統中而達成共識。一旦達成了這個共識，員工就可以不用尋求領導批準，而任意使用各種類型的技術。這類策略能防止機構和員工工作效率低下，對工作目標不明確。

一個有效的ISSP策略應完成以下的目標：

*明確地指出機構期望其員工如何使用基于技術的系統。

*記錄了基于技術的系統的控制過程，并確定這個控制過程和相關的負責機構。

*當機構的員工由于使用不當，或者非法操作系統而造成了損失，它可以保護機構不承擔該責任。

一個有效的ISSP是各方（機構和成員）之間的協議，并且顯示，為了保障技術不會以不恰當方式被使用，機構已經做出了極大的努力。每個機構的ISSP都有3個特性：

*它是針對特定的、基于技術的系統

*它要求不斷地升級

*它包含一個問題陳述，解釋了機構對特定問題的態度

一個ISSP可能涉及多個主題，如下所述：

*電子郵件的使用

*因特網和萬維網的使用

*為預防蠕蟲和病毒，計算機的具體最小配置

*禁止攻擊或者測試機構的安全控制系統

*在家里使用公司的計算機設備

*在公司網絡上使用個人設備

*使用通訊技術（傳真、電話）

*使用復印設備