|
计算机安全策略
在讨论计算机安全的过程中,策略这一术语具有多种含义。策略是高级管理层对建立计算机安全项目的指导,确立期目标并设定相关责任。策略这一术语也被用于表示特定系统的特定安全规则。另外,策略还可以表示完全不同的事物,如对于设定机构电子邮件隐私策略或传真安全策略的特定管理决策。
这里,计算机安全策略这一术语被定义为包含上述所有类型策略的“计算机安全决策的文档”。在制定决策时,管理人面临艰难抉择,这些抉择与资源分配、竞争的目标以及机构策略有关,涉及到技术和信息资源、指导员工行为的机构策略。所有级别的管理人作出的决策都可以成为策略,策略的适用范围因管理人的权限范围不同而各不相同。这里,我们在比较宽泛的含义上使用策略这一术语,它包括上面描述的所有策略类型,包括所有级别的管理人作出的特定策略。
计算机安全方面的管理决策有各种各样。为了区别不同类型的策略,本章将其分为三个基本类:
- 项目策略建立机构的计算机安全项目。
- 专题策略涉及到机构所关心的特定问题。
- 特定系统策略关注于管理层为了保护特定系统所作出的决定。
规程、标准和指导方针被用于描述在机构中执行这些策略的方法。
熟悉各种策略类型和部件可以帮助管理人处理对机构重要的计算机安全问题。有效的策略是制定和实施良好的计算机安全项目保护系统和信息的基础。
对这些类型的描述有利于读者的理解。将机构具体的策略归于三种类别的哪一种并不重要,重要的是要透彻理解其功能。
|
