|
3. 有效的核心级计算机安全项目的要素
为了使核心计算机安全项目发挥效用,应该将其做为机构管理的一部分。如果系统管理者和应用拥有者不需要与安全项目始终如一地相结合,那么它就会变成上层管理者“许诺安全”的华而不实的装饰。
稳定的项目管理职能 制定良好的项目都有一个做为核心级计算机安全项目经理的整个机构公认的项目管理人。项目应该拥有称职的人员,并且应该在项目管理职能与机构其它部门的计算机安全人员之间建立联系。计算机安全项目是一项复杂的职能,需要一个稳定的基础以便指挥对信息和经费等安全资源的管理。如果计算机安全项目在机构中没有给与适当的专家和授权支持,监督职能的优势就不能有效地发挥。
稳定的资源基础 制定良好的项目都有稳定的人员、经费和其它支持的资源基础。没有稳定的资源基础,就没有可能有效的制定和执行计划和项目。
策略的存在 策略为核心级计算机安全项目提供了基础,是记录和发布重要的计算机安全决策的手段。核心级计算机安全项目还应该公布协助策略执行和扩展策略的标准、规章和指导方针。
所发布的使命和职能描述 所公布的使命描述为核心计算机安全项目融入机构具体的运行环境提供了基础。这些描述明确地确定了计算机安全项目的职能并且定义了计算机安全项目以及其它相关项目和实体的责任。没有这些描述,就无法制定评估项目有效性的标准。
长期的计算机安全战略 建立适当的项目以便对长期战略进行探索和研究有助于将计算机安全综合到下一代信息技术中去。由于计算机和电信领域发展迅猛,所以对未来的运行环境作出规划是非常重要的。
遵守法规的计划 核心级计算机安全项目需要涉及到对国家政策和需求以及机构特定的需求的遵循。
机构内部的联系 机构中的许多人员能够影响到计算机安全。信息资源管理机构和物理安全人员是两个明显的例子。但是,计算机安全的职能经常与这些人员重叠,如人员安全、可靠性和质量保证、内部控制。有效的项目应该与这些团体建立关系以便将计算机安全整合到机构的管理中。这些关系不仅包括分享信息,而且包括人员之间的相互影响。
与外部团体的联系 所建立的项目应该对外部信息源有所了解并且善加利用。它还可以是信息的提供者。
|
