信息安全管理之企业信息安全策略

企业信息安全策略

企业信息安全策略( EISP) -也就是我们所知的安全项目策略、总安全策略、IT安全策略、高级信息安全策略，或者更简单地说就是信息安全策略——为整个机构安全工作制定战略方向、范围和策略基调。EISP为信息安全的各个领域分配责任，包括信息安全策略的维护、策略的实施、最终用户的责任。EISP还特别规定了信息安全项目的制定、实施和管理要求，信息安全的管理、IT的开发、IT的运作以及其他特定的安全控制都必须满足这一要求。

该策略应当直接支持机构的预定目标和任务声明。当受到法律质疑时，它也必须能够站得住脚。因而，机构必须确保策略能够满足以下两个标准：

必须有一个策略，而且机构的所有成员都应当知道它用一个标准和一致的方式来处理违反策略的行为

EISP是一个执行级的文档，是由CISO与CIO磋商后起草的。通常2-10页长，它构成了IT环境的安全理念。EISP -般不需要做经常或日常的修改，除非机构的战略方向发生了变化。

把机构的任务和目标纳入EISP中

EISP扮演着许多重要角色，不只是在支持机构的任务和间接目标中声明信息安全的重要性。正如第2章所讨论的那样，在信息安全计划的制定过程中，信息安全策略计划源于IT战略策略，而IT战略策略本身又源于机构的战略计划。除非EISP直接反映这种关联，否则策略将很可能变得混乱或者达不到预期国标。

怎样精心制定EISP以反映机构的任务和阶段目标？假定一个学术机构的任务声明能促进学术自由、独立研究和相对不受限制的知识探索，那么该机构的EISP就应该更加允许使用组织技术、应该保护知识产权、也应当反映对深奥的研究领域的理解程度。EISP不应当与机构的任务声明相抵触。例如，如果学术机构的任务声明支持自由的知识探索，那么EISP就不应当限制访问色情网站，或者确定对这种行为的处罚规定。由于这样的策略与学术机构的任务声明产生了直接的抵触，因而它不具有可实施性。