制定新的安全計劃你需要了解的9個策略

■ 趙云

構建和管理安全計劃是大多數企業成長所需的并為之奮斗的目標。筆者曾與那些對員工如何使用資產或網絡尚未制定安全計劃的創業公司合作過，還曾在成熟的企業工作過，其IT和網絡安全的各個方面都得到了很好的管理。安全計劃的目標是找到一個平衡，公司可以負責任地管理其選擇部署的技術所帶來的風險。

在建立安全計劃的起初階段，公司通常會首先指定一名員工負責網絡安全。該員工將開始制定計劃，通過安全技術、可審計的工作流程以及可記錄的規則和程序來管理公司的風險。

成熟的安全計劃需要以下規則和程序：

1.可接受使用規則（AUP）

AUP規定了使用企業IT資產的員工必須經過同意才能訪問公司網絡或互聯網。這是新員工的標準入職規定。在被授予網絡ID之前，AUP 需要予以讀取和簽名，建議企業IT、安全、法律和人力資源部門討論本規定中包含的內容。

2.訪問控制策略（ACP）

ACP概述了員工對企業數據和信息系統的訪問權限。通常包含在策略中的一些主題是訪問控制標準，例如NIST的訪問控制和實施指南。本策略中涉及的其他項目包括用戶訪問標準、網絡訪問控制、操作系統軟件控制以及公司密碼的復雜性。通常包括的其他補充項目包括監測公司系統如何被訪問和使用的方法；如何保護無人值守的工作站；以及當員工離崗或離職時如何刪除訪問權 限。The International Association of Privacy Professionals（IAPP）提供了此策略的一個很好例子。

3.變更管理策略

變更管理策略是指對IT、軟件開發和安全服務/操作進行更改的正式程序。變更管理策略的目標是提高對整個企業的建議變更的認識和理解，并確保所有變更都是有條不紊地進行的，以盡量減少對服務和客戶的任何不利影響。

4.信息安全策略

企業組織的信息安全策略通常是可以涵蓋大量安全控制的高級策略。企業發布主要信息安全策略，是確保在企業范圍內或其網絡中使用信息技術資產的所有員工都遵守其規定的規則和準則。有些組織要求員工簽署此文件以確認其已經閱讀過（通常在簽署AUP策略時完成）。此策略旨在讓員工認識到，有些規則要求他們對企業信息和IT資產的敏感性負責。

5.事件響應（IR）策略

事件響應策略是一種有組織的方法，用于說明企業如何管理事件并修復對自身運營的影響。實話講，這是CISO希望永遠不會使用的一項策略，但是該策略的目標是描述處理事件的過程，以限制對業務運營、客戶的損害并減少恢復時間和成本。

6.遠程訪問策略

遠程訪問策略是描述和規定如何合規的遠程連接到組織內部網絡的文檔。該策略還包括附錄，其中包含使用BYOD資產的規則。該策略是企業的分散網絡能夠擴展到不安全網絡位置的必要條件，例如本地咖啡館或非托管家庭網絡等。

7.電子郵件/通信策略

企業的電子郵件策略是用于正式規定員工如何使用業務需要的電子通信媒體的文檔。該政策涵蓋了電子郵件、博客、社交媒體和聊天技術等。該策略的主要目標是向員工提供使用以上通信技術的指南，以告訴員工什么樣的企業通信技術被認為是合規或違規的。

8.災難恢復策略

企業的災難恢復策略通常包括網絡安全和IT團隊的意見，并作為更廣泛的業務連續性計劃的一部分來進行制定。CISO和團隊將通過事件響應策略來管理事件， 如果某事件對業務產生重大影響，將激活業務連續性計劃。

9.業務連續性計劃（BCP）

BCP將協調整個企業的工作，并將使用災難恢復策略來恢復對業務連續性至關重要的硬件、應用程序和數據。BCP對每個企業都是獨一無二的，因為它們描述了企業在緊急情況下的運作方式。

上述策略和文件只是用于構建成功的安全策略的一些基本準則。隨著企業的不斷成熟和安全策略的不斷擴展，CISO將會有更多的發展。

在此向企業首次制定安全策略的人推薦SANS信息安全策略模板網站，其中有許多可供下載的策略。

時刻記得，管理者要與員工一起宣傳企業的新政策和指導方針。讓員工真正的了解IT和網絡安全相關規定是至關重要的。