单位面临的挑战

　　许多安全策略并没有什么着落，这也就是说如果策略遭受了损害，却无法采取什么惩戒性的行动。这主要是因为缺乏管理支持。所以管理部门采取措施使得现有的安全策略文档得以强化是很重要的。但首先要保证策略的可行性，即可以实施。我们经常看到一些策略难以理解，也找不到相关的解释。关键是编写一种有着很好基础的策略，要求它清楚易懂、可实施，便于阅读。有些单位以一种不太现实的方式编制策略和管理控制，并不能真正地解决单位所面临的挑战。

　　一套有效的策略应当是简明扼要而意味深长。相关文档的生命周期应当在三到五年之内甚至更短，而且需要每年都进行检查以确保其一致性，并与企业的战略保持一致。

　　一个最大的困难或挑战是很少有安全专业人士深谙此道，很多单位从其它单位拷贝文档用于本单位，虽然这些策略谈到了非常好的的方法，但在实施技术控制时却离本单位的现实目标有相当大的差距。

　　职权

　　这种策略应当得到高级管理部门或企业老总的授权，如果没有这种支持安全策略就无法实施，或将成为一纸空文。要清楚地阐明制定策略的原因，所有的人员都应当清楚不遵循安全要求的结果。

　　在没有得到认可的情况下增加安全要求将导致有关部门增加技术控制的预算。技术控制需要花钱，因此对于策略的认可是至关重要的。

　　框架

　　要知道，随着时间的推移，用户需要不断地增加策略，因为企业目标的改变，也需要考虑策略的采用问题，而用户的行为也会改变。使全体员工远离不安全的途径是我们应当考虑的主要问题，保护公司的信息资产至关重要。

　　将单位的预算牢记心头，要考虑到单位对技术控制的计划。如果策略建议了某种行为要求，但却没有技术来强化这种策略，那么用户将无法执行策略。

　　不要试图减轻全部可能的风险，安全策略应当清晰，应当让人看出应当做什么，不应当做什么。要在细节上下工夫，而不要轻描淡写。

　　一套全面的安全策略要求涉及到所有的业务单元，仔细地整理策略将有助于减少暴露的程度。一味地跟从其它单位的文档不利于排除安全风险。

　　一定要运用最少特权的规则。这会使得暴露的攻击面最小化，暴露得越少则风险越小。

　　要对策略的强制要求部分重点强调。如果你没有清楚地表明，那么用户们会感觉到这些东西是可选项而不是必选项。必要时对这些要求用专门的颜色强调，而对可选项部分可用斜体表述。

　　有一些策略可能会排除某些用户，这些排除部分不应当位于文档的主体部分而应当位于附录中，否则容易引起混淆。

　　有的单位将安全策略分割为若干部分，这样其不同部分就可以一种更有限制性的方式适用于不同的部门。这可能会极大地增加策略的复杂性，总体的安全策略也将会过于松散并会增加暴露程度。为此，最好将更多的细节交给每一个部门，，人力资源部门可在明确策略要素方面起到自己的作用。虽然不同的部门拥有不同的安全状况，但这种方法适用于任何一家单位。

　　安全策略应适合单位的实际情况，否则用户们有可能对其掉以轻心。而且策略应当遵循法律法规和一致性要求，这会使得策略更有权威性。