|
2. 专题策略
项目策略涉及到整个机构范围的计算机安全项目,而专题策略是针对目前机构关心(有时候还是有争议的)的某个领域制定的。例如,机构可能发现需要发布关于制定应急计划(集中式或非集中式)或使用特定技术对系统进行风险管理的策略。例如,还可以发布关于在机构中如何正确使用新兴技术的策略。当产生新问题的时侯,也可以发布相关策略,比方说有新的保护特定信息的法律开始施行的时侯。项目策略一般比较广泛,不需要时常修改,而专题策略在技术或相关因素发生变化时可能需要修改,所以其修改频率比较高。
通常,专题和针对系统的策略的发布者是高级管理人员,策略的范围越广泛、内容越具争议性或其实施越消耗资源,那么其发布者的级别就越高。
有关专题策略的领域有很多。下面介绍两个例子:
互联网接入 许多机构将互联网视为延伸其研究机会和进行通信的方法。毫无疑问,连接互联网有很多好处但是也有一些缺点。所发布的互联网接入策略涉及到谁将使用接入、何种类型的系统连接在网络上、何种类型的信息在网络中传输、连接互联网的系统的用户认证需求以及防火墙和安全网关的使用。
电子邮件策略 电子邮件系统的用户依赖于此服务与同事或其他人进行信息通信。但是,由于系统通常由雇佣机构所有,有时管理者可能会出于各种原因(如确定其仅用于工作目的或其是否被用于传播病毒、发送攻击性邮件或泄漏机构的秘密)希望监控员工的电子邮件。另一方面,用户可能会有需要尊重其隐私的要求,就像对美国邮政的要求那样。这个领域的策略所涉及到的隐私级别根据电子邮件及其环境的不同有所不同,有些可以查阅有些则不行。
与项目策略类似,专题策略也可以分为几个基本部分:
专题描述 制定某一专题的策略,管理人必须定义专题所包含的相关含义、特性和条件。通常还需要设定策略的目标或理由,这也有利于策略的执行。例如,一个机构要制定一个关于“非官方”软件使用的专题策略,这种软件是指未经机构批准、审查或者不是机构购买、管理和拥有的软件。另外,相关的特性和环境也需要包含其中,例如员工个人拥有但是得到批准可用于工作的软件,以及其它业务单位拥有和使用并得到机构合同确认的软件。
机构立场的描述 一旦叙述完专题及其相关的含义和条件,就要在本节清晰地描述机构对此问题的立场(如管理层的决策)。继续前面的例子,这就意味着要描述在所有的或某些情况下禁止使用所定义的非官方软件,要描述是否有批准和使用方面的详细指导、或者是否可以批准例外情况以及谁来批准基于什么规则。
适用性 专题策略还需要包括适用性的描述。就是说要清晰的表述特定策略应该在何处、何时、由谁、对谁、怎样施行。比如,前面提到的关于非官方软件的假想策略可以适用于机构本身站点中的资源和员工,但不包括其它办公场所的人员。另外,还需要澄清对于来往于不同站点和/或家中需要在多个站点传送和使用磁盘的员工的适用性。
角色和责任 专题策略通常也包括对角色和责任的设定。例如,如果允许员工私人拥有的非官方软件经过适当的批准在工作中使用,那么就应该描述这样的批准权限的授权情况(策略应该通过使用职位规定谁拥有此授权)。同样的,应该明确规定谁负责确保只有得到批准的软件才能够在机构的计算机资源中使用,或许还要监控用户使用非官方软件的情况。
执行 对于某些类型的策略,可能需要详细描述哪些违反行为是不能允许的,以及这种行为的后果是什么。惩罚措施可能要明确描述并且应该与机构的人事策略和措施相一致。实施的时侯,应该与相关官员和工作人员进行协调,这可能还包括工会。最好能够设定一个特定人员来监督整个机构的实施情况。
联系点和补充信息 对于任何专题策略,应该指明机构适当的人员做为联络点以便获取进一步的信息、指导和执行。由于职位本身的变动比担任职位的人员的变动要少,所以设定职位做为联系点更加合适。例如,对于某些专题来说,联系点可能是生产线管理人;对于另一些专题可能就是设施管理人、技术支持人员、系统管理员或安全项目代表。再一次引用上面的例子,员工需要指导提出问题和了解规程信息的联系点是否是其直接上级,还是系统管理员或计算机安全人员。
策略通常还有指导方针和规程的协助。例如,关于非官方软件的专题策略可能包括对员工带入的在其它地点使用过的磁盘进行检查的规程指导方针。
|
