|
信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组织整个信息安全体系的基础。信息安全不是天然的需求,而是经历了信息损失之后才有的需求,所以管理对于信息安全是必不可少的。一个组织最主要的管理文件就是信息安全策略,信息安全策略明确规定组织需要保护什么,为什么需要保护和由谁进行保护;没有合理的信息安全策略,再好的信息安全专家和安全工具也没有价值。一个组织的信息安全策略可以反映出这个组织对现实安全威胁和未来安全风险的预期,也可反映出组织内部业务人员和技术人员对安全风险的认识与应对。
信息安全策略是信息安全项目的基石。它应当反映一个企业的安全目标,以及企业为保障信息安全而制定的管理策略。因此,为了实施信息安全策略的后续措施,管理人员必须取得一致意见。在策略的内容问题上存在争论将会影响后续的强化阶段,其结果就是导致信息安全项目“发育不良”。 当然,老练的安全专家还可提供独到的建议,从而影响管理人员关于组织策略的管理观点。一旦安全专家完全理解了管理部门的观点,就有可能介绍一个与管理部门一致的安全框架。该框架将会成为企业信息安全项目的基石,为构建信息安全策略提供指南。安全策略应当反映真正的实践。否则,策略发布之时,即企业违规之时。要保持策略的简易可行,信息安全项目要能够强化策略,同时又可以解决存在争论的问题。 |
|
|
