■ 趙云

構(gòu)建和管理安全計(jì)劃是大多數(shù)企業(yè)成長所需的并為之奮斗的目標(biāo)。筆者曾與那些對員工如何使用資產(chǎn)或網(wǎng)絡(luò)尚未制定安全計(jì)劃的創(chuàng)業(yè)公司合作過，還曾在成熟的企業(yè)工作過，其IT和網(wǎng)絡(luò)安全的各個(gè)方面都得到了很好的管理。安全計(jì)劃的目標(biāo)是找到一個(gè)平衡，公司可以負(fù)責(zé)任地管理其選擇部署的技術(shù)所帶來的風(fēng)險(xiǎn)。

在建立安全計(jì)劃的起初階段，公司通常會(huì)首先指定一名員工負(fù)責(zé)網(wǎng)絡(luò)安全。該員工將開始制定計(jì)劃，通過安全技術(shù)、可審計(jì)的工作流程以及可記錄的規(guī)則和程序來管理公司的風(fēng)險(xiǎn)。

成熟的安全計(jì)劃需要以下規(guī)則和程序：

1.可接受使用規(guī)則（AUP）

AUP規(guī)定了使用企業(yè)IT資產(chǎn)的員工必須經(jīng)過同意才能訪問公司網(wǎng)絡(luò)或互聯(lián)網(wǎng)。這是新員工的標(biāo)準(zhǔn)入職規(guī)定。在被授予網(wǎng)絡(luò)ID之前，AUP 需要予以讀取和簽名，建議企業(yè)IT、安全、法律和人力資源部門討論本規(guī)定中包含的內(nèi)容。

2.訪問控制策略（ACP）

ACP概述了員工對企業(yè)數(shù)據(jù)和信息系統(tǒng)的訪問權(quán)限。通常包含在策略中的一些主題是訪問控制標(biāo)準(zhǔn)，例如NIST的訪問控制和實(shí)施指南。本策略中涉及的其他項(xiàng)目包括用戶訪問標(biāo)準(zhǔn)、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)軟件控制以及公司密碼的復(fù)雜性。通常包括的其他補(bǔ)充項(xiàng)目包括監(jiān)測公司系統(tǒng)如何被訪問和使用的方法；如何保護(hù)無人值守的工作站；以及當(dāng)員工離崗或離職時(shí)如何刪除訪問權(quán) 限。The International Association of Privacy Professionals（IAPP）提供了此策略的一個(gè)很好例子。

3.變更管理策略

變更管理策略是指對IT、軟件開發(fā)和安全服務(wù)/操作進(jìn)行更改的正式程序。變更管理策略的目標(biāo)是提高對整個(gè)企業(yè)的建議變更的認(rèn)識(shí)和理解，并確保所有變更都是有條不紊地進(jìn)行的，以盡量減少對服務(wù)和客戶的任何不利影響。

4.信息安全策略

企業(yè)組織的信息安全策略通常是可以涵蓋大量安全控制的高級(jí)策略。企業(yè)發(fā)布主要信息安全策略，是確保在企業(yè)范圍內(nèi)或其網(wǎng)絡(luò)中使用信息技術(shù)資產(chǎn)的所有員工都遵守其規(guī)定的規(guī)則和準(zhǔn)則。有些組織要求員工簽署此文件以確認(rèn)其已經(jīng)閱讀過（通常在簽署AUP策略時(shí)完成）。此策略旨在讓員工認(rèn)識(shí)到，有些規(guī)則要求他們對企業(yè)信息和IT資產(chǎn)的敏感性負(fù)責(zé)。

5.事件響應(yīng)（IR）策略

事件響應(yīng)策略是一種有組織的方法，用于說明企業(yè)如何管理事件并修復(fù)對自身運(yùn)營的影響。實(shí)話講，這是CISO希望永遠(yuǎn)不會(huì)使用的一項(xiàng)策略，但是該策略的目標(biāo)是描述處理事件的過程，以限制對業(yè)務(wù)運(yùn)營、客戶的損害并減少恢復(fù)時(shí)間和成本。

6.遠(yuǎn)程訪問策略

遠(yuǎn)程訪問策略是描述和規(guī)定如何合規(guī)的遠(yuǎn)程連接到組織內(nèi)部網(wǎng)絡(luò)的文檔。該策略還包括附錄，其中包含使用BYOD資產(chǎn)的規(guī)則。該策略是企業(yè)的分散網(wǎng)絡(luò)能夠擴(kuò)展到不安全網(wǎng)絡(luò)位置的必要條件，例如本地咖啡館或非托管家庭網(wǎng)絡(luò)等。

7.電子郵件/通信策略

企業(yè)的電子郵件策略是用于正式規(guī)定員工如何使用業(yè)務(wù)需要的電子通信媒體的文檔。該政策涵蓋了電子郵件、博客、社交媒體和聊天技術(shù)等。該策略的主要目標(biāo)是向員工提供使用以上通信技術(shù)的指南，以告訴員工什么樣的企業(yè)通信技術(shù)被認(rèn)為是合規(guī)或違規(guī)的。

8.災(zāi)難恢復(fù)策略

企業(yè)的災(zāi)難恢復(fù)策略通常包括網(wǎng)絡(luò)安全和IT團(tuán)隊(duì)的意見，并作為更廣泛的業(yè)務(wù)連續(xù)性計(jì)劃的一部分來進(jìn)行制定。CISO和團(tuán)隊(duì)將通過事件響應(yīng)策略來管理事件， 如果某事件對業(yè)務(wù)產(chǎn)生重大影響，將激活業(yè)務(wù)連續(xù)性計(jì)劃。

9.業(yè)務(wù)連續(xù)性計(jì)劃（BCP）

BCP將協(xié)調(diào)整個(gè)企業(yè)的工作，并將使用災(zāi)難恢復(fù)策略來恢復(fù)對業(yè)務(wù)連續(xù)性至關(guān)重要的硬件、應(yīng)用程序和數(shù)據(jù)。BCP對每個(gè)企業(yè)都是獨(dú)一無二的，因?yàn)樗鼈兠枋隽似髽I(yè)在緊急情況下的運(yùn)作方式。

上述策略和文件只是用于構(gòu)建成功的安全策略的一些基本準(zhǔn)則。隨著企業(yè)的不斷成熟和安全策略的不斷擴(kuò)展，CISO將會(huì)有更多的發(fā)展。

在此向企業(yè)首次制定安全策略的人推薦SANS信息安全策略模板網(wǎng)站，其中有許多可供下載的策略。

時(shí)刻記得，管理者要與員工一起宣傳企業(yè)的新政策和指導(dǎo)方針。讓員工真正的了解IT和網(wǎng)絡(luò)安全相關(guān)規(guī)定是至關(guān)重要的。