从某种意义上说,你的信息安全操作就好象是一条有很多船员的船,它在大家动作一致的情况下工作最有效率,要保证所有的浆在同一时间击打水面,你需要建立一些规则,合理的策略和强大的管理系统可以为你的船员们掌握方向。
部分的风险管理要求定期评估你的策略和执行程序,以及更新你的指导方针和技术,这样才能保证雇员和系统始终依照它们来执行。同样地,厂商现在提供可以将策略转换成具体配置条件和命令的产品。
策略管理并不只是个良好实践的问题,如今的监管要求使它成为当务之急。你可以手工创建和管理策略,或者你也可以转为使用自动化工具来执行控制以使他们遵守各项规定。无论哪种方式,你都可以通过采取步骤来保证策略被持久地建立和管理,那样你就可以迅速避开安全漏洞、监管故障和审计失败的威胁。
设定规则
当谈到创建策略,有很多资源可以利用,包括SANS学院的安全策略项目和ISO 17799安全标准(提供一个策略框架)。一些组织,主要是大学和学院,已经将他们的信息安全策略公布在互联网上,这些策略可以提供有帮助的样本材料。
有些厂商提供了打包好的策略,如果你不打算从空白文档开始写你的策略,可以参考它们的。可是,这些策略偏向于通用,而且必须经过适当的修改才会生效。不管你采取哪种方法,一定要保证这些策略适合你的机构,那些不适合机构需求的策略通常会被忽略,它们会将整个企业暴露在风险之中。
而且,有一点非常关键,那就是策略不能太具体化——在随后的程序及指导方针中再处理细节问题。在策略制定过程中,策略并不需要在每次情况有变化时就重写一次:如果你改变了你的防病毒解决方案,那么你不需要改变你的防病毒策略,但你有可能需要修改你的防病毒流程。
使你的策略尽可能地非具体化,这样可以帮助你的机构处理突发威胁。如果一条策略太过具体化,它可能在每次威胁出现时都需要重写。
一个策略应该大致描绘出如何评估威胁;这样,流程或指导方针就可以在攻击发生时,被创建出来进行处理。如果策略公开地重写,没有注明或描述具体攻击媒介,比如间谍软件或网络钓鱼软件,他们会通过建立识别可能问题的关键条件,如非正常的网络流量,来给你的IT安全带来好处。
管理要点
一旦策略建立完成,你需要知道怎样使用它们才能最好地管理企业中的信息安全状况(每个人都对策略管理有不同的定义,就我们而言,策略管理可以在整个企业中实施从策略到实用且可执行控制的转换。)
想拥有一套有效的策略管理解决方案,以下关键支持机制必须到位:
雇员必须进行沟通和培训计划,你不能指望员工们在不理解策略的情况下遵守策略。通过培训,他们可以反馈哪些策略有效和哪些无效。
管理层必须在整个企业中以一致的方式来执行策略,否则,雇员们不会认真对待这些策略。与人力资源部门合作处理执行策略问题,或至少在执行问题发生时,要通知人力资源部。
必须制定指标来衡量政策的有效性,指标的制定需要技巧,特别是在安全领域(毕竟,如果没有违规的情况发生,你已经正确地完成了你的工作)。指标可以检查出有多少用户正在被禁止访问不恰当的网站,在给定时间段内被拦截的病毒数量,以及用户密码的整体强壮性。
制定并执行一个维护计划来保证这些策略被定期审查和更新。大多数监管机构希望每年定期进行。
最为重要的是,一个机构需要决定它通过策略管理程序需要达到的目标是什么。这个方案会将精力集中在有限的领域,比如访问控制或防病毒,还是在整个企业的范围中实施?这个方案是被设计用来满足SOX法案、GLBA或HIPAA法规问题的吗?如果是,你是否需要一个系统来衡量法规遵从的问题?