SP 800-18：信息技術(shù)系統(tǒng)安全計劃開發(fā)指南

NIST特別報告書800-18強調(diào)了策略管理的方法。因為策略是不停變化發(fā)展的動態(tài)文檔，機構(gòu)不能只是創(chuàng)建了一批重要的文檔，就把它們擱置在一邊，相反， 這些文檔必須得到恰當(dāng)?shù)膫鞑ィǚ职l(fā)、閱讀、理解以及支持）和管理。策略開發(fā)和維護方面的優(yōu)秀管理經(jīng)驗可以讓一個機構(gòu)在遭受打擊后能更容易恢復(fù)，例如，所有策略，包括安全策略，在公司合并和回收股權(quán)時都會承受巨大的壓力。在這種情況下，變化經(jīng)常都會發(fā)生，而且員工們都處于一種不確定的狀態(tài)并面對很多困惑，這些壓力能暴露安全策略管理中的弱點。如果兩個公司合并之后，仍然有不同的策略，要在這種情況下實施安全控制是非常困難的。同樣，當(dāng)一個有統(tǒng)一策略的公司一分為二時，這兩個公司的策略需求都發(fā)生了變化，必須改變以適應(yīng)新的情況。

對于當(dāng)前的可行策略，必須有一個責(zé)任人來負責(zé)安排檢查，定義檢查操作與程序，并確保策略和修訂數(shù)據(jù)的提交。

責(zé)任人（responsible individual）

信息系統(tǒng)和信息安全項目必須有一個監(jiān)督者( champion)和管理者，策略也一 樣。策略監(jiān)督者和管理者叫做策略管理員( policy administrator)，一般情況下，這個人是一個負責(zé)創(chuàng)建、修訂、分發(fā)、保存策略的中級職員。需要注意的是，策略管理員并不一定是一個技術(shù)高手。當(dāng)進行信息安全實踐時，專家需要有廣博的技術(shù)知識，但是策略管理和策略管理員只需要有適當(dāng)?shù)募夹g(shù)背景就可以了。策略管理員從技術(shù)熟練的信息安全專家和每個利益團體中致力于業(yè)務(wù)的管理者處索取信息，作為回報，當(dāng)對機構(gòu)策略做出修改之后，會通告所有會受到影響的人。

當(dāng)一個需要上百個工作時來開發(fā)的策略被放人活頁文檔夾，然后被放置在管理者的書架上與灰塵為伴時，這實在是一件令人氣餒的事。一個優(yōu)秀的策略管理員能阻止這種事情，他需要做的是：確保策略文檔和所有隨后的修訂都得到恰當(dāng)?shù)姆职l(fā)。策略管理員必須在策略文檔上明確地指出一個主要聯(lián)系人，以提供對策略的額外信息或修訂建議。