確定應用範圍
在制訂安全策略之前一個必要的步驟是確認該策略所應用的範圍,例如是在整個組織還是在某個部門。如果沒有明確範圍就制訂策略無異於無的放矢。
獲得管理支持
事實上任何項目的推進都無法離開管理層的支持,安全策略的實施也是如此。先從管理層獲得足夠的承諾有很多好處,可以爲後面的工作鋪平道路,還可以瞭解組織總體上對安全策略的重視程度,而且與管理層的溝通也是將安全工作進一步導向更理想狀態的一個契機。
進行安全分析
這是一個經常被忽略的工作步驟,同時也是安全策略制訂工作中的一個重要步驟。這個步驟的主要目標是確定需要進行保護的信息資產及其對組織的絕對和相對價值,在決定保護措施的時候需要參照這一步驟所獲得的信息。進行這項工作時需要考慮的關鍵問題包括需要保護什麼、需要防範哪些威脅、受到***的可能性、在***發生時可能造成的損失、能夠採取什麼防範措施、防範措施的成本和效果評估等等。
會見關鍵人員
通常來說至少應該與負責技術部門和負責業務部門的人員進行一些會議,在這些會議上應該向這些人員灌輸在分析階段所得出的結論並爭取這些人員的認同。如果有其它屬於安全策略應用範圍內的業務單位,那麼也應該讓起加入到這項工作。
制訂策略草案
一旦就應用範圍內的採集的信息達成一致並獲得了組織內部足夠的支持,就可以開始着手建立實際的策略了。這個策略版本會形成最終策略的框架和主要內容,並作爲最後的評估和確認工作的基準。
開展策略評估
在之前已經與管理層及與安全策略執行相關的主要人員進行了溝通,而該部分工作在之前的基礎上進一步與所有風險承擔者一同對安全策略進行確認,從而最終形成修正後的正式的策略版本。在這個階段會往往會有更多的人員參與進來,應該進一步爭取所有相關人員的支持,至少應該獲得足夠的授權以保障安全策略的實施。
發佈安全策略
當安全策略完成之後還需要在組織內成功的進行發佈,使組織成員仔細閱讀並充分理解策略的內容。可以通過組織主要的信息發佈渠道對安全策略進行廣泛發佈,例如組織的內部信息系統、例會、培訓活動等等。
隨需修訂策略
隨着應用環境的變化,信息安全策略也必須隨之變化和發展才能夠繼續發揮作用。通常組織應該每個季度進行一次策略的評估,每年至少應該進行一次策略更新。
<原始發佈地址:http://www.mercso.com/advertorial/securitypolicy.html>