策略、標準和實踐

策略被定義為“政府、政黨或者商業(yè)機構(gòu)的一套行動計劃或步驟，旨在影響和決定決策、行為及其他方面”。換句話說，策略包含一套規(guī)則，規(guī)定了在機構(gòu)內(nèi)可接受和不可接受的行為。策略應當詳細規(guī)定怎樣處罰違規(guī)行為，并定義上述規(guī)程。策略的一個運用實例就是禁止在工作場所瀏覽不適宜的網(wǎng)站。為了執(zhí)行策略，機構(gòu)必須實施一套標準，以準確定義在工作場所哪些行為是違反規(guī)定的，以及機構(gòu)對該行為的懲罰標準。標準是對策略的行為規(guī)則更詳細的描述。在實施過程中，機構(gòu)應當針對各種違規(guī)行為制定一套標準，并列出這些行為的詳細資料。 然后，應當采用技術控制和相關的過程，防止機構(gòu)人員訪問色情網(wǎng)站。實踐、過程和指導方針解釋了員工應當怎樣遵守策略。圖4—2描述了策略、標準和實踐三者之間的關系。

為了使策略有效，應該通過員工手冊、企業(yè)內(nèi)部網(wǎng)和定期增刊對策略進行大量宣傳。機構(gòu)的所有員工應當認真閱讀、理解，并且同意遵守機構(gòu)的策略；另外， 策略需要經(jīng)常性地修改和維護，需要變化時.，策略也要改進。

為了制定一個完整的信息安全策略，管理層應當定義3種類型的安全策略。 這3種類型源于（MST的800系列特別報告書，《公認[安全]原則和操作》）《NIST Special Publication 800-14》，它強調(diào)為高層管理者制定策略的需求（本章隨后將更詳細討論該文獻，它被推薦給參與制定策略的專業(yè)人員，在http：//csrc. nist. gov/ publications/nistpubs/800 -14. pclf.可以找到此文獻）。這3種策略類型如下所述：

*企業(yè)信息安全項目策略

*基于問題的安全策略

*基于系統(tǒng)的安全策略

在多數(shù)機構(gòu)中都可以看到每一種類型的策略。策略的一般制定步驟是，首先建立最高級策略——企業(yè)安全策略；隨后，制定基于問題和基于系統(tǒng)的策略，以滿

足總的安全策略要求，這3種策略將在隨后章節(jié)詳細描述。