信息安全策略制定简化方法之定义策略框架一

定义策略框架

收集完上面所提到的参考材料以后，应当编辑一个列表，它应包括新的和更为全面的信息安全策略文档所涉及的主题。该列表的初稿应当包括那些会被立即采用和以后采用的策略。在大多数情况下，该表的详细等级也许是不一致的， 但在此阶段将不会在意这一因素。例如，该表也许包括远程交换和最小10个字符的密码结构。当高级的大纲准备好以后，就应当使细节等级标准化。如果想知道更多的信息，请看下一节“制定一个覆盖矩阵表”。

接着应当尝试定义机构信息安全策略的表示方法。例如，策略也许应当用标准操作过程手册来代替。另一件需要做的事是，信息安全部门的负责人应当定期地发布总结策略的电子邮件备忘录，把隐私策略发到网上是很常见的事。由于许多人通过各种通信渠道对工作人员进行攻击，所以信息安全策略通过多种通信渠道被多次发送是很有必要的。用来表示策略的渠道将决定策略被怎样制定。例如，如果使用录像带，那么将使用简化的通俗方式，而如果策略文档被放在企业内部网Web服务器上，那么使用更多的图形和超文本连接方式则是比较恰当的方式。

应当检查机构信息安全策略当前使用的方式或准备使用的方式。这些策略可以用于指导信息系统的获取工作，推动信息技术审计计划，指导用户安全地操作桌面计算机等等。定义策略的使用将会有助于弄清这些策略主要面向哪一些人员，详细内容将在下一节“制定一个覆盖矩阵”中介绍。

策略的使用要着重关注那些最需要解决的领域。当分配完策略文档以后，其他的用户不久就会明白此点。不应把这看成很差的计划，而应当认为它具有成功的主动性，它将对机构产生意料之外的作用。在一些实际的例子中，策略文档的使用方式在最初也许是未知的，但通过一系列的集会，就能很快识别出有关的利益各方。