信息安全策略是信息安全项目的基石。它应当反映一个企业的安全目标,以及企业为保障信息安全而制定的管理策略。因此,为了实施信息安全策略的后续措施,管理人员必须取得一致意见。在策略的内容问题上存在争论将会影响后续的强化阶段,其结果就是导致信息安全项目“发育不良”。这意味着,为了编制信息安全策略文档,企业必须拥有明确定义的安全目标,以及为保障信息安全而编制的管理策略。
安全与管理不能分家
市场上集成了安全策略的产品中,很少有哪种方案能够同时让安全专家和管理人员都满意。试图教育管理人员如何思考安全问题并非恰当的方法。相反,构建安全策略的首要一步是明确管理部门如何看待安全。因为,所谓的安全策略就是关于信息安全的一套管理要求,这些要求向安全专业人员提供了规范指南。另一方面,安全专业人员向管理人员提供规范指南,容易忽略管理需求。
安全专业人员应当吸取管理人员的观点,不妨向其“讨教”下面这些与信息安全有关的问题:
1、你如何描述自己所接触的信息类型?
2、你依赖哪类信息做出决策?
3、有没有哪些信息比其它信息更加需要保密?
根据这些问题,就可以制定信息分类系统(例如,形成客户信息、财务信息、销售信息等),每种信息系统的正确处理过程都可在业务处理层次上描述。
当然,老练的安全专家还可提供独到的建议,从而影响管理人员关于组织策略的管理观点。一旦安全专家完全理解了管理部门的观点,就有可能介绍一个与管理部门一致的安全框架。该框架将会成为企业信息安全项目的基石,为构建信息安全策略提供指南。
通常,安全业的标准文档被用作基准框架。这种方法很合理,因为它既有助于确保公司管理层充分地接受策略,也有利于外部审核者和参与企业信息安全项目的其它人接受。
然而,这些文档从其本质上说并不具体,并不描述特定的安全管理目标。所以它们必须与管理部门的信息相结合,才能产生策略指南。此外,为了保持与标准文档的一致性,期望管理部门改变其管理方式也不合理。但是,信息安全专业人员可以从这些文档中获取良好的安全管理方法,并可以看出是否可以将其整合到企业当前的结构中。
保证安全策略的可行性
安全策略应当反映真正的实践。否则,策略发布之时,即企业违规之时。要保持策略的简易可行,信息安全项目要能够强化策略,同时又可以解决存在争论的问题。
保持策略简易的另外一个原因是,人们都清楚策略并不存在例外情况,因而他们会更愿意预先保持策略的可行性,其目的是为了保证自己能够遵循策略。如果你的策略中出现了这样的语句,“经由主管经理同意,可以不受该策略的约束”,那么,策略文档就毫无价值了。策略文档就不再代表管理部门对信息安全项目的许诺,而是代表策略将无法实施。在遵循信息安全策略时,必须能够与遵循企业内部的其它策略一样处于同等水平。策略的言辞必须能够确保得到主管人员的完全同意。
例如,假设在是否准许用户访问可移动媒体(如USB存储设备)的问题上存在着争论。安全专业人员相信绝对不应当准许这种访问,而技术经理可能会认为负责数据操作的技术实施部门必须可以将数据移动或复制到任何介质上。在策略水平上,受到多数人意见的推动,将会出现这样的表述,“对移动介质设备的所有访问要得到主管经理的认可。”技术主管经理认可过程的细节可以进一步讨论和协商。而一般性的策略表述仍要阻止任何人在没有得到主管经理同意的情况下使用移动存储介质。
在大型企业中,策略遵循的细节可能大相径庭。在这种情况下,根据人员(员工)来区分策略就比较恰当。整个企业范围内的策略将成为一种全局策略,它包括信息安全方面最常见的范围和规范。不同的分支机构需要发布自己的策略。如果子策略文档的人员在公司范围内有着确切的定义,这种分布式策略就极为有效。在这种情况下,为了更新这些文档,不必谋求同层管理部门的许可。
例如,信息技术的操作策略应当仅需要信息技术部门的领导许可,当然,它要与全局的安全策略保持一致,并仅将管理部门的许可增加到全局的安全策略中。策略应当包含这种表述,如“仅有授权的管理员能够对操作系统作出更改”。还有,“仅能在获得授权的变更控制过程中才能访问普通ID的口令”。
信息安全策略应当包含哪些方面?
那么,信息安全策略中应当至少包含哪些信息呢?这种策略应当至少足以传达关于安全方面的管理目标和方向,因而它应当包含:
1、范围。它应当涉及企业内所有信息、系统、设施、程序、数据、网络、所有的技术用户,绝无例外。
2、信息分类。策略应当提供特定内容的定义而不是一般化的“机密”或“限制”。
3、在每种信息分类中安全信息处理的管理目标。例如,法律、法规、安全方面的合同义务等,这些都可以整合,并表述为通用的目标,如“客户的私密信息不应当以明文形式授权给除客户代表之外的任何人,并且仅能用于与客户交流的目的。”
4、其它管理要求和补充文档的策略布置(例如,它要由所有主管阶层的同意,所有的其它信息处理文档必须与其保持一致。)
5、用于参考的证明文件(例如,流程、技术标准、程序、指南等。)
6、对企业范围内行之有效的安全要求和规范的具体规定。(例如,对任何计算系统的所有访问都要求身份确认和验证,不能共享个人的认证机制)。
7、指明确切、具体的责任。(例如,技术部门是电信线路的唯一提供者。)
8、违反策略(不合规)时所面临的后果(例如,解聘或合同中止等)。
上述清单足以保证信息安全策略的完整性,当然,其前提条件是,规定具体安全措施的责任要在“辅助文档”和“责任”部分进行定义和描述。虽然第6和7两个方面可能包含许多关于安全措施的其它细节,为了保证策略的可读性,应设法减少其数量,并依靠子策略或证明文档来包含各种要求。再有,在策略水平上的完整合规比让策略包括大量的细节更为重要。
注意,策略的形成过程在策略文档之外。关于策略的核准、更新和版本控制应当谨慎保留,并且在审计策略的过程中要保持其可用性。