安全策略的实施

    安全策略是一叠有生命的文档，并不是一旦写定就可以几年不变的，策略应当有规律的更新，以反映业务条件、技术、客户要求等变化，一些文档版本控制技术可以用来帮助管理这一生命周期过程。

    为了安全策略通信，当它被确认和执行时，最好将它置于在线，或放在受众可以浏览并了解哪些变化的地方。一些公司用一个企业网站展示它的安全策略，以便员工在日常工作中很容易地参阅它。

    一旦安全策略开始实施、制度完善、而且很好地指导公司的运作，那么通过外部代理或内部部门可以完成审计。审计把现有实际情况和策略目标相比较。中立的第三方意见将帮助指出策略和它的实施中的弱点与问题--这要求无利益冲突的伙伴（非安全组织或信息技术部）来做审计工作。审计常常根据要求的时间--按月、按季、按年或一些其他时间段--来完成。安全策略实施应当至少一年审计一次，因为更长的时间可能导致策略与实施的操作之间相背离。

    总结

    其实，安全设施必须与安全策略相分离，以使安全策略不依靠于任何具体的产品和技术。安全策略构成了行之有效的安全计划的基础。安全策略是为了保护公司而制订的各项规章制度，它描述了公司的安全控制，但并不指定具体的技术方法，它为人们提供创建、安装和维护计算机系统的指南，这样他们就没必要自己做决定，而这些决定可能与公司的高层管理目标性冲突。安全策略应当以书面形式呈现，它告诉员工公司允许和接受哪些行为或资源的使用，哪些是禁止的和不被接受的。好的安全策略应当是公司整个安全工作的核心，而绝不仅仅是信息技术部门的职责。每一个关心安全策略的机构都应当由自己负责来开发安全策略。