基于間題的安全策略

一個(gè)健全的基于問(wèn)題的安全策略（ISSP，Issue-Specific .Se。urity Policy）提供了詳細(xì)的、目標(biāo)明確的指南，以此來(lái)指導(dǎo)所有機(jī)構(gòu)成員如何使用基于技術(shù)的系統(tǒng)。 ISSP應(yīng)該首先介紹機(jī)構(gòu)的基本技術(shù)理念。它應(yīng)該讓機(jī)構(gòu)成員認(rèn)識(shí)到，策略的目標(biāo)不是為機(jī)構(gòu)的信息系統(tǒng)遭受破壞后起訴有關(guān)責(zé)任人提供法律依據(jù)，而是為了就哪些技術(shù)能否應(yīng)用到系統(tǒng)中而達(dá)成共識(shí)。一旦達(dá)成了這個(gè)共識(shí)，員工就可以不用尋求領(lǐng)導(dǎo)批準(zhǔn)，而任意使用各種類型的技術(shù)。這類策略能防止機(jī)構(gòu)和員工工作效率低下，對(duì)工作目標(biāo)不明確。

一個(gè)有效的ISSP策略應(yīng)完成以下的目標(biāo)：

*明確地指出機(jī)構(gòu)期望其員工如何使用基于技術(shù)的系統(tǒng)。

*記錄了基于技術(shù)的系統(tǒng)的控制過(guò)程，并確定這個(gè)控制過(guò)程和相關(guān)的負(fù)責(zé)機(jī)構(gòu)。

*當(dāng)機(jī)構(gòu)的員工由于使用不當(dāng)，或者非法操作系統(tǒng)而造成了損失，它可以保護(hù)機(jī)構(gòu)不承擔(dān)該責(zé)任。

一個(gè)有效的ISSP是各方（機(jī)構(gòu)和成員）之間的協(xié)議，并且顯示，為了保障技術(shù)不會(huì)以不恰當(dāng)方式被使用，機(jī)構(gòu)已經(jīng)做出了極大的努力。每個(gè)機(jī)構(gòu)的ISSP都有3個(gè)特性：

*它是針對(duì)特定的、基于技術(shù)的系統(tǒng)

*它要求不斷地升級(jí)

*它包含一個(gè)問(wèn)題陳述，解釋了機(jī)構(gòu)對(duì)特定問(wèn)題的態(tài)度

一個(gè)ISSP可能涉及多個(gè)主題，如下所述：

*電子郵件的使用

*因特網(wǎng)和萬(wàn)維網(wǎng)的使用

*為預(yù)防蠕蟲(chóng)和病毒，計(jì)算機(jī)的具體最小配置

*禁止攻擊或者測(cè)試機(jī)構(gòu)的安全控制系統(tǒng)

*在家里使用公司的計(jì)算機(jī)設(shè)備

*在公司網(wǎng)絡(luò)上使用個(gè)人設(shè)備

*使用通訊技術(shù)（傳真、電話）

*使用復(fù)印設(shè)備