法律因素和员工策略及步骤案例

　　审计数据内容的性质，引发了大量需要提醒法律顾问注意的法律问题。如果要搜集和保存审计数据，就应该对因它的存在和内容而导致的后果做好准备。需要考虑的一个方面是个人隐私权。因为在某些情况下，审计数据可能会包含个人信息。对数据进行调查，哪怕只是常规的系统安全检查，都可能会侵犯隐私。

　　需要考虑的第二个方面是要熟悉站点的侵权行为。假如一个组织存有审计数据，那么它有责任检查这些数据以发现事故吗?如果某个组织的一台主机被用来作为跳板攻击另一个组织，那么后者能够使用前者的审计数据来证明责任在前者的过失吗?

　　一个企业的安全策略中为员工制定的策略和程序。员工安全控制包括：1、必须确定关键职位的人选，通常也应该确定可能的继任者。2、新来的负责执行和操作网络基础设施的员工需要通过全面的背景材料调查。3、所有涉及网络基础设施设备的执行和支持的人员都必须参加一个为期两天的安全技术讲座，该讲座只在企业内部开展。

　　设备的采购和维护方面包括以下几点：1、所有基础设施设备在购买前必须通过采购认证。2、所有新的镜像和配置在投入使用前必须先在测试设备上经过模拟。3、所有主要的预定网络停机和服务中断都应该通知可能受到影响的部门。

　　再就是备份程序包括三部分：第一、所有软件镜像和配置文件在修改前必须在基础设施设备上留有备份。第二、原来的镜像和配置文件必须保留到进行另一次修改时，这样就能保证当前和以前的镜像配置可用。第三、所有备份必须存储在专门的地点(加了锁)。