使用安全策略模板

日期: 2008-07-23 作者:Charles Cresson Wood 来源:TechTarget中国 英文

在起草安全策略的过程中应用模板可以节省时间和费用。然而一些组织却做过了头,尤其是将模板全盘照搬(就像更换一台失效的服务器中的电路板)而没有考虑此策略条款是否适用于现有环境。   管理人员经常会收到一系列号称“最佳实践”的策略,并要求他们签署。——暗示着“让我们用最快的速度完成它”的策略。

有人可能会从另一组织,互联网,或者一本书里照搬策略。但是这个照搬策略的人也许并不需要向管理人员解释为什么要选这个策略而不是别的,或者并没有讨论他选择的这个策略的内容,因为他们并未考虑那些策略是否符合他们组织的特殊环境。这种“要么采取它或要么不要它”的方法会降低策略的重要性,最后将不会为公司的信息安全策略服务。 ……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在起草安全策略的过程中应用模板可以节省时间和费用。然而一些组织却做过了头,尤其是将模板全盘照搬(就像更换一台失效的服务器中的电路板)而没有考虑此策略条款是否适用于现有环境。

  管理人员经常会收到一系列号称“最佳实践”的策略,并要求他们签署。——暗示着“让我们用最快的速度完成它”的策略。有人可能会从另一组织,互联网,或者一本书里照搬策略。但是这个照搬策略的人也许并不需要向管理人员解释为什么要选这个策略而不是别的,或者并没有讨论他选择的这个策略的内容,因为他们并未考虑那些策略是否符合他们组织的特殊环境。这种“要么采取它或要么不要它”的方法会降低策略的重要性,最后将不会为公司的信息安全策略服务。

  策略并不能满足所有人的要求。采用策略之前必须要小心翼翼的进行修正以适合环境要求。管理人员需要根据主要的决定性因素去分析信息安全策略,比如说组织风险和文化效应,成本和收益,部署牵连和所需的技术支持。举个例子,管理人员仅仅口头上说每个用户必须使用数字认证是不够的,他们还需要进行一个有关策略及相关内容的广泛交流。

  在采纳策略之前,管理人员还需要考虑员工认知和动机的现有水平,信息安全一致性的状况,和员工将对这个策略作何反应等情况。譬如说,若采用一个处理色情下载的策略模板,就需要对它进行修改以适合环境,尤其当员工们要有规律的通过互联网来完成工作的时候。如果采用的是“决不容忍”的策略,就是说,哪个人一旦被发现下载色情内容就会被马上开除,那么人们也许会变得不太愿意去使用互联网,结果会导致生产率的下降。

  更为严重的是,制造这样的一个被逮到而且被开除的实例可能会加剧这个问题。设想一个员工关心的合法性问题。他们也许只是错误的输入了一个网址, 而恰巧这是个色情网址,结果就导致他们被立即开除。这个问题在当今的互联网技术中广泛存在着,一个小小的拼写错误就会导致用户去一个他们从未想看的色情网站。从员工的角度来看,轻率的对待这种可能性并不值得提倡。在这个例子中,管理人员没有预见到这个预定的策略是如何使员工在使用网络时遇到麻烦的。他们忽视了应采用一个对员工较友好的策略,当人们违反了“不允许下载色情内容”的策略时,他们在被炒掉前应该先被警告。

  策略,从某些方面来讲,是需求的综合,是一个组织如何管理信息安全的总结。判断策略提案是否有效需要从管理层获得组织面临的特殊风险(通常可以在风险分析报告中找到),还要了解组织内的主流环境。管理人员需要考虑合法性和需求变更,哪些地方需要在策略执行之前修改,还有即将被采用的安全策略的长期影响。

  设想这个方法正在被一个大的个人电脑软件公司使用,那里的管理人员正在为相当高水平的软件盗版行为发愁,他们想完全杜绝盗版行为。他们采用了一个严格的策略,就是在他们公司的软件运行之前需要使用一个硬件密码。虽然短期目标完成的不错,盗版确实显著减少了,但是这个策略却造成了软件销售量的下滑。因为使用硬件密码对于本来潜在的购买者来讲是一个很大的麻烦事。事实上,一定数量的盗版反而会对销售有利,因为这样人们就可以将这个软件程序从一个工作地点传播到另一个地方,展示给新的老板和同事们。在这个例子中,几年后,这个软件公司还在拼命的追赶其他卖主,因为它的竞争对手们采用了与他们恰好相反的方法,向校园里的下一代的用户发放免费软件。

  从长期发展的观点来看,适当的背景分析对一个组织修改策略模板来讲非常必要,它可以使管理人员前瞻性的,有效的与业务伙伴和其他第三方联合起来共同发展策略。

相关推荐