策略、標(biāo)準(zhǔn)和實踐

策略被定義為“政府、政黨或者商業(yè)機(jī)構(gòu)的一套行動計劃或步驟，旨在影響和決定決策、行為及其他方面”。換句話說，策略包含一套規(guī)則，規(guī)定了在機(jī)構(gòu)內(nèi)可接受和不可接受的行為。策略應(yīng)當(dāng)詳細(xì)規(guī)定怎樣處罰違規(guī)行為，并定義上述規(guī)程。策略的一個運用實例就是禁止在工作場所瀏覽不適宜的網(wǎng)站。為了執(zhí)行策略，機(jī)構(gòu)必須實施一套標(biāo)準(zhǔn)，以準(zhǔn)確定義在工作場所哪些行為是違反規(guī)定的，以及機(jī)構(gòu)對該行為的懲罰標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是對策略的行為規(guī)則更詳細(xì)的描述。在實施過程中，機(jī)構(gòu)應(yīng)當(dāng)針對各種違規(guī)行為制定一套標(biāo)準(zhǔn)，并列出這些行為的詳細(xì)資料。 然后，應(yīng)當(dāng)采用技術(shù)控制和相關(guān)的過程，防止機(jī)構(gòu)人員訪問色情網(wǎng)站。實踐、過程和指導(dǎo)方針解釋了員工應(yīng)當(dāng)怎樣遵守策略。圖4—2描述了策略、標(biāo)準(zhǔn)和實踐三者之間的關(guān)系。

為了使策略有效，應(yīng)該通過員工手冊、企業(yè)內(nèi)部網(wǎng)和定期增刊對策略進(jìn)行大量宣傳。機(jī)構(gòu)的所有員工應(yīng)當(dāng)認(rèn)真閱讀、理解，并且同意遵守機(jī)構(gòu)的策略；另外， 策略需要經(jīng)常性地修改和維護(hù)，需要變化時.，策略也要改進(jìn)。

為了制定一個完整的信息安全策略，管理層應(yīng)當(dāng)定義3種類型的安全策略。 這3種類型源于（MST的800系列特別報告書，《公認(rèn)[安全]原則和操作》）《NIST Special Publication 800-14》，它強(qiáng)調(diào)為高層管理者制定策略的需求（本章隨后將更詳細(xì)討論該文獻(xiàn)，它被推薦給參與制定策略的專業(yè)人員，在http：//csrc. nist. gov/ publications/nistpubs/800 -14. pclf.可以找到此文獻(xiàn)）。這3種策略類型如下所述：

*企業(yè)信息安全項目策略

*基于問題的安全策略

*基于系統(tǒng)的安全策略

在多數(shù)機(jī)構(gòu)中都可以看到每一種類型的策略。策略的一般制定步驟是，首先建立最高級策略——企業(yè)安全策略；隨后，制定基于問題和基于系統(tǒng)的策略，以滿

足總的安全策略要求，這3種策略將在隨后章節(jié)詳細(xì)描述。