|
4. 执行策略的工具:规程、标准和指导方针
由于策略是在比较宽泛层面上制定的,所以机构还制定了标准、指导方针和规程,这些内容为用户、管理人和其他人员提供了执行策略和满足机构目标的清晰的方法。标准和指导方针为保护系统设定了技术和方法。规程是完成特定安全相关任务所要遵行的详细步骤。标准、指导方针和规程可以通过手册、规章或指南的方式在机构范围内传播。
机构的标准(不要同美国国家标准、FIPS、美国联邦标准或其它国家或国际标准相混淆)设定在统一使用对机构有益的情况下统一使用特定技术、参数或规程的。机构范围内使用标准的识别证件就是一个典型的例子,这使员工可以更方便、更灵活、更自动化地出入系统。通常,标准在机构中被强制执行。
指导方针协助用户、系统人员和其他人有效地保护系统。由于系统的多样性,所以有时强制执行统一的标准可能办不到、不适宜或不经济,这时候就需要指导方针了。例如,机构的指导方针可以被用来帮助制定针对系统的标准规程。通常可以使用指导方针协助确保特定的安全措施不会被忽略,正确地执行该措施可以有多种方式。
规程通常对于遵循安全策略、标准和指导方针进行协助。它们是用户、系统操作人员或其他人员完成特定任务(如准备新的用户帐户和设定适当的特权)所需遵循的详细步骤。
有些机构发布整体的计算机安全指南、规章、手册或类似的文件。由于策略、指导方针、标准和规程是相互关联的,所以这些文件可能同时包含这几个内容。指南和规章做为重要的工具通常与策略及其实施有明显的不同,应该加以区分。这样可以为达到策略目标提供多种方法以提高其灵活性和成本效益。
|
