企業信息安全策略

企業信息安全策略( EISP) -也就是我們所知的安全項目策略、總安全策略、IT安全策略、高級信息安全策略，或者更簡單地說就是信息安全策略——為整個機構安全工作制定戰略方向、范圍和策略基調。EISP為信息安全的各個領域分配責任，包括信息安全策略的維護、策略的實施、最終用戶的責任。EISP還特別規定了信息安全項目的制定、實施和管理要求，信息安全的管理、IT的開發、IT的運作以及其他特定的安全控制都必須滿足這一要求。

該策略應當直接支持機構的預定目標和任務聲明。當受到法律質疑時，它也必須能夠站得住腳。因而，機構必須確保策略能夠滿足以下兩個標準：

必須有一個策略，而且機構的所有成員都應當知道它用一個標準和一致的方式來處理違反策略的行為

EISP是一個執行級的文檔，是由CISO與CIO磋商后起草的。通常2-10頁長，它構成了IT環境的安全理念。EISP -般不需要做經常或日常的修改，除非機構的戰略方向發生了變化。

把機構的任務和目標納入EISP中

EISP扮演著許多重要角色，不只是在支持機構的任務和間接目標中聲明信息安全的重要性。正如第2章所討論的那樣，在信息安全計劃的制定過程中，信息安全策略計劃源于IT戰略策略，而IT戰略策略本身又源于機構的戰略計劃。除非EISP直接反映這種關聯，否則策略將很可能變得混亂或者達不到預期國標。

怎樣精心制定EISP以反映機構的任務和階段目標？假定一個學術機構的任務聲明能促進學術自由、獨立研究和相對不受限制的知識探索，那么該機構的EISP就應該更加允許使用組織技術、應該保護知識產權、也應當反映對深奧的研究領域的理解程度。EISP不應當與機構的任務聲明相抵觸。例如，如果學術機構的任務聲明支持自由的知識探索，那么EISP就不應當限制訪問色情網站，或者確定對這種行為的處罰規定。由于這樣的策略與學術機構的任務聲明產生了直接的抵觸，因而它不具有可實施性。