選擇最佳實(shí)踐

選擇實(shí)施哪一個(gè)推薦實(shí)踐可能會(huì)對某些機(jī)構(gòu)提出挑戰(zhàn)。在由政府機(jī)構(gòu)控制的行業(yè)里，政府的指導(dǎo)方針通常是必須滿足的需求。但是對于其他的機(jī)構(gòu)，政府的指導(dǎo)方針僅僅被作為一個(gè)不錯(cuò)的信息來源，可以說明要求其他機(jī)構(gòu)采取的用來控制信息安全風(fēng)險(xiǎn)的步驟，并且可以知道他們所選擇的最佳實(shí)踐。

當(dāng)為機(jī)構(gòu)選擇最佳實(shí)踐時(shí)，考慮以下問題：

*機(jī)構(gòu)和使用該最佳實(shí)踐的目標(biāo)機(jī)構(gòu)是否有相似之處？

*你們和該目標(biāo)是否位于相似的行業(yè)中？一個(gè)非常適合制造業(yè)機(jī)構(gòu)中的策略可能在非營利機(jī)構(gòu)中卻不是很實(shí)用。

*機(jī)構(gòu)和目標(biāo)機(jī)構(gòu)是否面對相似的難題？如果你的機(jī)構(gòu)缺少一個(gè)能正常工作的信息安全計(jì)劃，擁有一個(gè)可以引入該計(jì)劃的最佳實(shí)踐目標(biāo)就很有價(jià)值。

*機(jī)構(gòu)和目標(biāo)機(jī)構(gòu)是否有相似的結(jié)構(gòu)？一個(gè)給小規(guī)模辦公室的最佳實(shí)踐不適用于跨國公司。

*你能夠提供的資源是否和最佳實(shí)踐所要求的資源相似？如果你的計(jì)劃必須處理預(yù)算限制問題，那么那些要求無限資金的最佳實(shí)踐建議其價(jià)值是有限的。

你的機(jī)構(gòu)和采取相同最佳實(shí)踐的機(jī)構(gòu)是否處在相似的威脅環(huán)境之中？只進(jìn)行了幾個(gè)月或者幾周時(shí)間的最佳實(shí)踐可能不適用于當(dāng)前的威脅環(huán)境。為了看清最佳實(shí)踐多快就會(huì)作廢，想想現(xiàn)代機(jī)構(gòu)所需的關(guān)于網(wǎng)絡(luò)連接性的最佳實(shí)踐就可以了，同5年前相比，21世紀(jì)初的最佳實(shí)踐發(fā)生了多大的變化！

另外還有一個(gè)關(guān)于最佳實(shí)踐的資料來源，即卡耐基一梅隆大學(xué)計(jì)算機(jī)應(yīng)急響應(yīng)小組( CERT)所經(jīng)營的站點(diǎn)（www.cert. ort/security-improvement/），它以HTML和PDF格式提供了大量的安全改進(jìn)模塊和實(shí)踐經(jīng)驗(yàn)。同樣，微軟也在它的站點(diǎn)( www.microsoft.com/privacy/safeinternet／security/best_practices/default. html)中也發(fā)布了一組安全最佳實(shí)踐。

微軟把重點(diǎn)放在7個(gè)關(guān)鍵策略上：

*使用反病毒軟件

*使用強(qiáng)力密碼

*檢查你的軟件安全設(shè)置

*升級(jí)產(chǎn)品的安全功能

*構(gòu)建個(gè)人防火墻

*及早并經(jīng)常備份

*防治電涌（指電力突變）與斷電

這些資料來源只是眾多支持最佳安全實(shí)踐的公共和私人機(jī)構(gòu)中的一小部分。 花上幾個(gè)小時(shí)在網(wǎng)上搜索，你就會(huì)發(fā)現(xiàn)有很多其他提供補(bǔ)充信息的地方。實(shí)際上，尋找關(guān)于安全設(shè)計(jì)的信息是一件相對容易的事情；從收集到的大量信息、文檔、出版物中做出選擇，卻可能需要投入大量時(shí)間和人力資源。這樣做的目的是要獲得一個(gè)明確的方法，以創(chuàng)建一個(gè)框架，該框架會(huì)引導(dǎo)我們開發(fā)安全系統(tǒng)的藍(lán)圖，而該藍(lán)圖則提供了關(guān)于在策略、教育以及培訓(xùn)計(jì)劃和技術(shù)領(lǐng)域內(nèi)實(shí)施必須組件的細(xì)節(jié)問題。