掌握信息安全建設方法 了解信息安全策略

信息安全建設是一個非常細致、重要的工作。做好信息安全建設工作，首先需要對組織信息化發展的歷史情況進行深入和全面的調研，知道家底、掌握情況，針對信息安全的主要內容進行整體的發展規劃工作。

在前面的文章中，我們了解到信息安全建設的目的，本文我們介紹信息安全建設的引領者——信息安全策略。

信息安全策略，是一個有效信息安全項目的基礎。從信息安全領域中發生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統管理員將不能安全的安裝防火墻。策略規定了所允許的訪問控制、協議以及怎樣記錄與安全有關的事件。盡管信息安全策略是廉價的實施控制方式，但它們也是最難實施的。策略花費的僅僅是創建、批準、交流所用的時間和精力，以及員工把策略整合形成日常行為規范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略，與其它控制方法（特別是技術控制）相比，其花費也是較小的。策略的制定需要達成下述目標：減少風險，遵從法律和規則，確保組織運作的連續性、信息完整性和機密性。

信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰略伙伴以及員工提供了內部信息系統，對信息系統中信息特性的理解，能為策略制定提供有用的依據。應當重視對信息系統了解深刻的員工，所提出的組織當前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。

在制定一整套信息安全策略時，應當參考一份近期的風險評估或信息審計，以便清楚了解組織當前的信息安全需求。對曾出現的安全事件的總結，也是一份有價值的資料。也需要召開相關人員會議，比如首席信息官、物理安全主管、信息安全主管、內部審計主管和人力資源主管等。

為了確定哪些部分需要進一步注意，應收集組織當前所有相關的策略文件，例如計算機操作策略、應用系統開發策略、人力資源策略、物理安全策略。也可以參考國際標準、行業標準來獲得指導。資料收集階段的工作非常重要，很多時候因為工作量和實施難度被簡化操作。資料收集不全，調研不夠充分會導致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對現狀進行徹底調研的另一個作用是要弄清楚內部信息系統體系結構。信息安全策略應當與已有的信息系統結構相一致，并對其完全支持。這一點不是針對信息安全體系結構，而是針對信息系統體系結構。信息安全策略一般在信息系統體系結構確立以后制定，以保障信息安全體系實施、運行。例如，互聯網訪問控制策略可使安全體系結構具體化，也有利于選擇和實施恰當的防火墻產品。

收集完上面所提到的材料后，也就是調研階段完成后，開始根據前期的調研資料制定信息安全策略文檔初稿。初稿完成后，應當尋找直接相關人員對其進行小范圍的評審。對反饋意見進行修改后，逐漸的擴大評審的范圍。當所有的支持部門做出修改后，交由信息安全管理委員會評審。

信息安全策略的制定過程有很高的政策性和個性，反復的評審過程能夠讓策略更加清晰、簡潔，更容易落地，為此在評審的過程中需要調動參與積極性，而不是抵觸。

評審過程的最后一步一般由總經理、總裁、首席執行官簽名。在人員合同中應當表明能予遵守并且這是繼續雇傭的條件。也應當發放到內部服務器、網頁以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔得到高層領導強有力的支持。如果讓首席執行官簽名不現實，由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實施，但經驗表明，高層的支持對策略的實施落地是非常重要的。 

一般來說，在信息安全策略文件評審過程中，會得到組織內部各方多次評審和修訂，其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內部審計、物理安全、信息系統、人力資源、法律、財政和會計部。這樣一個委員會本質上是監督信息安全部門的工作，負責篩選提煉已提交的策略，以便在整個組織內更好的實施落地。如果組織內還沒有信息安全管理委員會，在制定信息安全策略的時候正是建立管理委員會的好時機，或由組織內已存在的同職能部門擔任職責。

雖然制定了新的安全策略，還必須有一個適當的實施過程，如果這些策略不能得到實施，將起不到任何作用，不能得到執行的策略，可能比完全沒有策略更糟糕，因為這樣會教會員工作假和質疑組織內部執行力，這也可能麻痹管理者認為信息安全為題已經處理雖然現實是另外一回事。 

管理層常以為員工行為當然以組織利益為重，這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀，但管理層可以運用策略給員工提供機會，引導他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。

新策略發布前，應在內部信息技術部門或審計部門內討論如果具體實施。新策略的執行可能會遇到多樣化的問題。可以通過績效評估和相應獎懲制度來保證策略的執行有效性。發現和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關的意識提升是無效的。在此情形下，需要尋找更有效的方式實施，或修改策略，以便更好的反映組織文化。

以上是山東省軟件評測中心多年工作總結，希望能給大家帶來幫助，不足之處，還望指正。