信息安全管理中基于间题的安全策略

基于间题的安全策略

一个健全的基于问题的安全策略（ISSP，Issue-Specific .Se。urity Policy）提供了详细的、目标明确的指南，以此来指导所有机构成员如何使用基于技术的系统。 ISSP应该首先介绍机构的基本技术理念。它应该让机构成员认识到，策略的目标不是为机构的信息系统遭受破坏后起诉有关责任人提供法律依据，而是为了就哪些技术能否应用到系统中而达成共识。一旦达成了这个共识，员工就可以不用寻求领导批准，而任意使用各种类型的技术。这类策略能防止机构和员工工作效率低下，对工作目标不明确。

一个有效的ISSP策略应完成以下的目标：

*明确地指出机构期望其员工如何使用基于技术的系统。

*记录了基于技术的系统的控制过程，并确定这个控制过程和相关的负责机构。

*当机构的员工由于使用不当，或者非法操作系统而造成了损失，它可以保护机构不承担该责任。

一个有效的ISSP是各方（机构和成员）之间的协议，并且显示，为了保障技术不会以不恰当方式被使用，机构已经做出了极大的努力。每个机构的ISSP都有3个特性：

*它是针对特定的、基于技术的系统

*它要求不断地升级

*它包含一个问题陈述，解释了机构对特定问题的态度

一个ISSP可能涉及多个主题，如下所述：

*电子邮件的使用

*因特网和万维网的使用

*为预防蠕虫和病毒，计算机的具体最小配置

*禁止攻击或者测试机构的安全控制系统

*在家里使用公司的计算机设备

*在公司网络上使用个人设备

*使用通讯技术（传真、电话）

*使用复印设备