信息安全策略概述

车走直线

信息安全策略（Information Security Policy）是一个组织机构中解决信息安全问题最重要的部分。在一个小型组织内部，信息安全策略的制定者一般应该是该组织的技术管理者，在一个大的组织内部，信息安全策略的制定者可能是由一个多方人员组成的小组。 一个组织的信息安全策略反映出一个组织对于现实和未来安全风险的认识水平，对于组织内部业务人员和技术人员安全风险的假定与处理。信息安全策略的制定，同时还需要参考相关的标准文本和类似组织的安全管理经验。 本文就信息安全策略的制定和实施有关的问题进行一些讨论。
一、什么是信息安全策略
   信息安全策略是一组规则，它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略可以划分为两个部分，问题策略（issue policy）和功能策略（ functional policy）。基本策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。 功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息安全策略必须有清晰和完全的文档描述，必须有相应的措施保证信息安全策略得到强制执行。在组织内部，必须有行政措施保证即定的信息安全策略被不打折扣地执行，管理层不能允许任何违反组织信息安全策略的行为存在，另一方面，也需要根据业务情况的变化不断地修改和补充信息安全策略。
   信息安全策略的内容应该有别于技术方案， 信息安全策略只是描述一个组织保证信息安全的途径的指导性文件，它不涉及具体做什么和如何做的问题，只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节，对于整个组织提供全局性指导，为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术，也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核，即能够对组织内各个部门信息安全策略的遵守程度给出评价。
信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。比如一个涉及对敏感信息加密的信息安全策略条目可以这样描述：
条目1 “任何类别为机密的信息，无论存贮在计算机中，还是通过公共网络传输时，必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护。”
   这个叙述没有谈及加密算法和密钥长度，所以当旧的加密算法被替换，新的加密算法被公布的时候，无须对信息安全策略进行修改。
二、信息安全策略的制定
   一个组织制定信息安全策略的基础是组织业务系统的组成，信息安全策略的制定者首先要确定哪些业务部分是孤立的，哪些部分是相互连接的，系统内部人员采用什么通信方式，各个部门采用什么业务运做方式，而这些都是随时间不断变化的，因此，在需要时信息安全策略的制定者要对信息安全策略进行修改和调整。
   衡量一个信息安全策略的首要标准就是现实可行性。因此信息安全策略与现实业务状态的关系是：信息安全策略既要符合现实业务状态，又要能包容未来一段时间的业务发展要求。
   实际上，制定信息安全策略应该是一个组织保证信息安全的第二步，在制定信息安全策略之前首先要确定安全风险量化和估价方法，明确一个组织要保护什么和需要付出多大的代价去保护。风险评估也是对组织内部各个部门和下属雇员对于组织重要性的间接度量。一般对于一个的业务组织，不存在不计成本的信息安全策略。因此，信息安全策略的制定者要根据被保护信息的重要性决定保护的级别和开销。安全风险评估要回答的问题包括：   
  组织的信息资产是什么？
  哪些信息对于维护组织正常的业务运转和实现赢利必不可少？
  哪些种类的风险是需要特别预防的？
三、信息安全策略制定过程
   信息安全策略的建立和执行会增加下属部门的工作负担，开始的时候很可能遭到抵触，进而导致在信息安全策略方面的投资预算不能立刻奏效。
   建立信息安全策略的过程应该是一个协商的团体活动，起草小组应该包括业务部门的代表，信息安全策略草稿完成后，应该将它发放到业务部门去征求意见，弄清信息安全策略会如何影响各部门的业务活动。同时在这些活动中，发现一些熟悉部门情况能代表部门意见帮助与部门进行沟通的业务联络人员。
   在这个过程中，可能会遇到诸如是否允许兼职人员进入系统，是否允许雇员将工作带回家去处理等一些问题，这时候往往要对信息安全策略作出调整，最终，任何决定都是财政现实和安全之间的一种权衡。