|
1. 项目策略
管理官员,通常是机构的领导或高级管理人员发布确立机构计算机安全项目及其基本架构的项目策略。这种高级策略定义了项目的目的及其在机构中的范围;设定了直接进行系统实施的责任(对于计算机安全机构)以及其它相关部门的责任(如信息资源管理[IRM]);并涉及到策略的执行问题。项目策略确立机构对安全的战略导向并为其实施分派资源。
项目策略的内容应该涉及到:
目的 项目策略通常包括描述为什么要建立项目的内容。这可能会包括定义项目的目标。安全相关的需要如完整性、可用性和机密性等构成了机构中所建立的策略目标的基础。例如,在负责维护大型的任务关键数据库的机构中,减少错误、减少数据丢失和毁坏以及执行恢复可能是特别重要的事情。但是,在负责维护个人机密数据的机构中,目标可能就更强调对加强防止非受权泄漏的保护。
范围 项目策略应该清晰地表明计算机安全项目涵盖的资源,包括设施、硬件和软件、信息以及人员。在许多情况下,项目包括所有的系统以及机构人员,但是也不总是这样。在有些情况下,可适当限制机构计算机安全项目的范围。
责任 一旦建立了计算机安全项目,其管理责任将会被设定给新的或已存在的人员 。
需要涉及到整个机构中所有员工和管理人员的责任问题,包括生产线管理人、应用程序拥有者、用户以及数据处理或IRM机构。策略内容的这个部分应该与计算机服务提供商以及使用所提供服务的应用管理人的责任区别开来。策略还应该确立主要系统的运行安全人员,特别是风险较高和对机构运作非常关键的系统。这也可以作为确立员工职责的基础。
在项目级别上,应该特别为实施计算机安全策略和确保其连续性的机构部门和官员设定责任 。
执行 项目策略主要涉及到两个执行方面的问题:
- 通常的执行确保满足建立项目和为机构各种人员设定责任的需求。通常设定一名监督官员(如监察长)负责监督执行情况,包括机构执行项目管理优先顺序的情况。
- 使用具体的惩罚和训诫措施。由于安全策略是级别较高的文件,对于各种违反策略行为的具体惩罚措施一般不会详细记录在这里,策略可能会授权建立执行架构,这一架构包括违反策略的行为及相应的具体惩戒措施
。
制定执行策略的时侯应该考虑到部分违反策略的人是无意的。例如,他们没有遵守策略是因为缺乏了解或培训。
|
