策略、规程、标准、基线和方针

 

        要使安全问题能够在公司中最终圆满解决，需要从最高层做起，安全保障能够在机构中的每一层都起到应有的作用和功能。高级管理层应该定义安全问题的范围、需要保护哪些东西以及需要保护到什么程度。在涉及安全问题的时候，管理人员必须了解他们负责的规章、法律和责任问题，并保证整个公司都完成了所有这些责任和义务。

        高级管理层还应该确定雇员应该遵守的规范以及违反规范的处理方法。这些决定应该由那些在出问题的时候，能够担负最终责任的人员来确定。但是，较为常见的做法是：利用安全官员的专业技能，确保公司正实施足够的策略和控制来实现高级管理层制定和确定的目标。

 

        一个安全计划包含为公司提供全面保护和长远安全策略必需的所有条款。一个安全计划应该具有安全策略、规程、标准、方针、基线、安全意识培训、意外处理以及遵守程序。

        人力资源部和法律部门应该加入到开发和加强这些问题的活动中来。应该检查语言、详细程度、策略的形式以及支持机制。

        应该从实际的角度开发安全策略、标准、方针和规程，以达到最佳效果。高度结构化的机构通常都会更加规范地遵守方针。结构化程度稍差的机构可能就需要更多的解释和强调，从而促进规范的遵守。规则越详细，判断一个人所犯的错误就越容易。不过，过分琐碎的文件和规则可能会增加负担，反而没有益处。另一方面，在许多时候，规定越是正式，执行起来就越容易。

        在撰写安全文件的时候，应该评估一下公司类型、公司文化以及目标，从而保证使用了正确的语言。

 

 

 

 

 

 

        基线有许多定义。

        基线可以指一个用于在将来变更时做对照的时间点。减轻了风险并实施了安全策略后，接着对基线进行正式审核并达成一致意见；之后，再进一步对它的开发进行评估。

　　通过基线，可以获得一致的参考点。

　　基线还用于定义所需的最低安全水平。在安全方面，可以为每个系统定义具体的基线，它规定所提供的必要的设置和保护水平。例如，某个公司也许要求公司中所有的会计系统都至少达到评估保障等级（EAL）第4级的基线。

　　这意味着，只有那些通过共同准则流程并达到这个等级的系统才可用于这个部门中。

　　正确配置系统后，这就成为必要的基线。

　　如果安装了新的软件，对现有软件应用了补丁或升级，或者系统发生其他变更，很可能系统不再能够提供必要的最低保护水平（它的基线)。

　　发生变更时，安全人员必须对系统进行评估，并确保作为基线的安全水平始终得到满足。

　　如果技术人员在系统中安装了一个补丁，但不能保证基线仍然得到满足，这样可能会在系统中引入新的漏洞，允许攻击者能够轻松访问网络。

 

 

 

 

 

 

         不幸的是，许多时候，安全策略、标准、规程、基线和方针之所以被写下来；都是由于审计员要求公司记录下这些文件条款，这些内容都躺在文件柜的底部，没有被共享、解释或使用。要使安全条款发挥作用，就必须实施它们。如果人们不知道有规定存在，那么他们就不会遵守这些规则。所以不仅需要开发安全策略及其支撑条款，还需要实施这些条款。