為什么要有策略？

一個高質量的信息安全項目由策略開始，也由策略結束。正確制定和實施的策略幾乎能夠使信息安全項目在工作場所無誤地發揮作用。盡管信息安全策略是最廉價的實施控制方式，但它們通常也是最難實施的。策略控制花費的僅僅是管理組創建、批準、交流策略所用的時間和精力，以及員工把策略整合形成日常行為規范所用的時間和精力。即使是管理組雇請機構外的顧問來輔助策略制定，與其他控制形式（特別是技術控制）相比，其花費也是最小的。

制定一個策略時必須遵守一些基本規則：

*策略不能與法律相沖突

*如果受到質疑，在法庭上策略也應站得住腳j策略必須被恰當地支持和管理

*Bergeront和Berube承認，通常策略執行起來很困難，為了使計算機策略的表述規范化，他們提出了有建設性的指導方針，這些方針也直接適用于信息安全策略：

①所有策略應當有助于機構的成功。

②為了正確地使用信息系統，管理層應當確保責任的合理分配。

③信息系統的最終用戶必須參與策略的規范化過程。

Bergero進一步指出，策略必須適應機構的具體需求，雖然策略的完整性和全面性是一個值得期待的目標，策略過多或過于復雜會降低最終用戶的滿意度。

在信息安全項目中，靶心模型( bull's-eye model)就是一種強調策略作用的模型。因為它提供了一種已被證明了的機制，該模型按策略作用的復雜程度劃分優先次序，已為信息安全專業人員廣泛接受。在此模型中，問題的提出是從一般到具體到特殊，也總是以策略為起始點，也就是側重于系統的解決方案而不是針對個別問題，圖4-1展示了靶心模型的4個層次：

①策略——靶心模型的最外層。

②網絡——在該層，機構的網絡基礎設施將遭遇來自公共網絡的威脅。過去，安全人員的多數信息安全工作側重于網絡，直到最近，信息安全還通常被認為是網絡安全的同義詞。

③系統——用來作為服務器的計算機、臺式電腦以及過程控制系統和制造系統。

④應用程序——所有的應用系統，包括打包的應用程序（例如辦公自動化和電子郵件程序）、高端的企業資源計劃包、機構所開發的客戶應用軟件。

不管是使用靶心模型或者其他的任何方法，除了制定一個健全的、可用的IT 和信息安全策略以及策略的交流和實施等工作以外，不應該把額外資源花費在其他的控制工作上。

Charles Cresson Wood歸納了如下幾條需要策略的理由：

策略是進行內部審計的重要參考文檔，同時也是解決管理工作中的法律問題的重要參考文檔，策略文檔也可以更清晰地展現管理層的意圖。