如何制定有效的信息安全策略

■ 北京 趙賢

信息安全策略是企業(yè)安全計劃的基礎(chǔ)，理想情況下，應(yīng)基于其對風險的承受能力和法規(guī)義務(wù)，以清晰的語言來確定組織對安全運營的目標和期望。

但是安全顧問表示，許多組織并沒有充分重視編寫和維護信息安全策略，而且沒有記錄什么有效信息就將其歸檔。

一些企業(yè)領(lǐng)導者往往將其視為一種練習，以至于他們只能檢查已完成的工作。

另一方面，真正成熟的組織是根據(jù)它們面臨的風險、風險承受能力、法規(guī)要求和所需的最佳實踐，并且根據(jù)自身的需要和情況來定制信息安全策略，在需要時通過審閱和更新來積極管理其策略，從而形成了整個安全計劃的基礎(chǔ)。這樣一來，企業(yè)可以更好地實現(xiàn)其期望的安全狀態(tài)。

以下是有關(guān)信息安全策略中的7個常見問題及應(yīng)對方案。

什么是信息安全策略？

信息安全策略是公司內(nèi)部有關(guān)信息安全應(yīng)采取何種措施的高級視圖。

網(wǎng)絡(luò)安全咨詢公司TCE Strategy的CEO Bryce Austin認為，這是企業(yè)高管用來判斷對企業(yè)是否足夠安全的基線。

這并不是說要解決所有問題，而是要聲明企業(yè)將要解決什么樣的問題，并就如何解決它們來提供指導。

為什么需要信息安全策略？

政府法規(guī)以及某些行業(yè)標準，特別要求組織制定信息安全策略以及其他類型的與安全相關(guān)的制度。

但是，策略不僅僅是合規(guī)性要求。它是一種工具，可向組織發(fā)出有關(guān)其面臨的安全風險的警告，并指導組織應(yīng)當如何應(yīng)對，以及在何種程度上應(yīng)對。它還告知人們哪些行為可以接受，哪些行為不能接受，以及需要采取哪些措施，規(guī)則和限制以確保安全。

如果要從安全的角度來管理整個組織，那么信息安全策略就是做到這一點的最佳工具。

信息安全策略的目的是什么？

信息安全策略還可以通過記錄要求的內(nèi)容，禁止的內(nèi)容以及由誰負責安全程序的哪些部分，來消除或減少組織的安全方法中的不一致之處。

它的重要性就在于，可以輕松認識到組織的程序中什么是合適的，什么是不合適的。

因此，CISO及其安全團隊，以及合規(guī)性、風險和法律負責人在向業(yè)務(wù)部門解釋與安全相關(guān)的需求時，可以指向策略中的信息，而這些需求可能會推遲實施某些特定的程序或流程。

此外，信息安全策略可用于指導組織對客戶或合作伙伴的響應(yīng)，這些客戶或合作伙伴可能在共同開展業(yè)務(wù)之前要求組織證明其是否有充分的安全措施。

如何創(chuàng)建信息安全策略？

CISO通常會牽頭進行安全策略的制定和更新，但是CISO還應(yīng)該與財務(wù)、物理安全、法律、人力資源等，或至少一個業(yè)務(wù)部門的主管一起，以組建委員會或工作組的形式來共同制定信息安全策略。

戰(zhàn)略性網(wǎng)絡(luò)安全咨詢和顧問公司SideChannel的合伙人兼聯(lián)合創(chuàng)始人Brian Haugli認為，CISO對信息安全策略負有責任，但必須與其他部門執(zhí)行團隊合作。

團隊應(yīng)該從風險評估開始，以確定組織的脆弱性和關(guān)注領(lǐng)域，從數(shù)據(jù)泄露到大規(guī)模系統(tǒng)中斷的可能性。團隊應(yīng)該評估這些潛在事件將會如何影響數(shù)據(jù)和系統(tǒng)的機密性、完整性和可用性。團隊還需要了解組織對各種風險的容忍度，概述哪些屬于低風險，哪些屬于高風險以致會危及組織的生存。然后，團隊還應(yīng)考慮必須滿足的監(jiān)管要求。

在此，CISO應(yīng)該明確指出所發(fā)現(xiàn)的漏洞和關(guān)注區(qū)域所需要的安全級別，并將所需的保護級別與組織的風險承受能力相匹配，從而使風險承受能力最低的區(qū)域獲得最高的安全級別。

安全專家建議CISO及其團隊使用諸如信息安全管理系統(tǒng)的ISO/IEC 27001標準之類的框架，以確保它們能夠解決所有相關(guān)要素。

信息安全策略應(yīng)包括哪些內(nèi)容？

盡管安全專家建議每個組織制定適合自己的策略，但他們也同意所有策略都應(yīng)包含針對通用的各個基本組件的內(nèi)容。

鑒于此，他們認為所有信息安全策略都應(yīng)詳細說明組織的安全目標、策略的范圍、資產(chǎn)分類、資產(chǎn)管理、訪問控制、密碼管理、數(shù)據(jù)分類、可接受使用策略（AUP）、防病毒和補丁程序管理，甚至物理安全。

一些組織可能還希望包含有關(guān)遠程訪問、移動設(shè)備、供應(yīng)商管理和云安全等方面的內(nèi)容。CISO應(yīng)詳細說明組織必須滿足的監(jiān)管要求、信息安全管理架構(gòu)，以及哪些職位的人有著哪些職責。

安全專家還建議CISO應(yīng)制定簡潔明了的策略。一些人在制定信息安全策略時往往令策略過于復雜，但這應(yīng)當是一份盡可能簡潔的制度。

信息安全策略不應(yīng)包括有關(guān)組織如何實現(xiàn)策略中提出的所有目標的詳細說明，這些政策也不應(yīng)包含技術(shù)成分。換而言之，策略中不應(yīng)該包括如何實現(xiàn)所有的一切，因為這太過冗雜了。

信息安全策略應(yīng)包括哪些文件？

有關(guān)組織如何實現(xiàn)信息安全策略目標的詳細信息，可以在各種子策略、標準、指南和流程中找到，這是圍繞安全策略的某些組成部分制定決策的地方。

例如，信息安全策略可以確定所有被分類為敏感或機密的數(shù)據(jù)都需要加密，但是單獨的文檔提供了有關(guān)要滿足的加密標準的詳細信息。

專家表示，當在考慮信息安全策略時，會將其視為全球性政策，在這里需要談?wù)摻M織的風險承受能力以及將遵循的框架，這是組織領(lǐng)導者需要擔憂的非常高級別的內(nèi)容。但是當遇到密碼政策之類的問題時，組織領(lǐng)導者無需知道具體的密碼中的最小字符等這些細枝末節(jié)。確實需要存在這些細微要求，只是不在組織領(lǐng)導者考慮之列。同樣，我們還需要知道諸如哪些端口可以開放或者我們使用哪種加密技術(shù)。這些應(yīng)該在支持信息安全策略的技術(shù)規(guī)范中可以找到。

其他可能在支持文檔中細分的主題包括網(wǎng)絡(luò)安全策略、備份恢復、災(zāi)難恢復、業(yè)務(wù)連續(xù)性、事件響應(yīng)、數(shù)據(jù)管理/數(shù)據(jù)防泄漏以及內(nèi)部威脅。

信息安全策略應(yīng)多久更新一次？

有些法規(guī)要求對信息安全策略進行年度審查，但是安全專家表示，技術(shù)的快速發(fā)展和不斷變化的威脅形勢使得除了主要策略外，還需要更頻繁地審查和更新相關(guān)支持標準、指南、流程和程序。這不是年度一次的活動，而是連續(xù)不斷的工作。

專家們承認，期望組織每年進行一次以上的全面風險評估不盡合理，實際上，有些組織已經(jīng)很難做到每年進行一次了，但是組織應(yīng)該準備好在新法律法規(guī)出臺或生效，或者監(jiān)管要求進行調(diào)整，或新威脅出現(xiàn)時，能夠更新這些文件。

專家建議CISO需要制定適當?shù)牧鞒蹋苍S是信息安全策略委員會的審查流程，以確定變化的環(huán)境是否需要更新信息安全策略或任何其它支持性準則、流程、程序或標準。