信息安全管理中的策略制定方针

策略制定方针

通常，将策略制定看成一种两阶段式的工程是很有用的。工程的第一阶段是设计和制定策略（或将过时的策略重新设计和改写），而第二阶段则是为策略在机构内部有效延续建立管理程序。前者是一种工程管理实施过程，而后者则需要不断地进行高质量的业务实践。

策略项目

与其他IT工程一样，一项策略的制定与再制定工程应该计划完备、投资合理以及管理积极，从而确保其能够按时完成和不超出预算。系统开发生命周期( SDLC)是实现这个目标的一种途径。在第2章中，你已经对SDLC的一种形式很熟悉了，即安全系统开发生命周期( SecSDLC)。接下来的讨论将围绕策略制定来详细叙述SecSDLC。在第12章中，你将进一步了解信息安全领域的工程管理。

当进行一项策略制定工程时，可以用SecSDLC过程对其进行指导。接下来的部分中将讲述SecSDLC中每一阶段的任务。