組織經常為各種需求創建多個 IT 策略：災難恢復、數據分類、數據隱私、風險評估、風險管理等。這些文件通常是相互關聯的，并為組織提供了一個框架來設定價值以指導決策和響應。

組織還需要信息安全策略。這種類型的政策提供的控制和程序有助于確保員工適當地使用 IT 資產。本文解釋了創建信息安全策略的好處、它應該包含哪些元素以及成功的優秀實踐。

什么是信息安全政策？

美國國家科學技術研究院 (NIST)將信息安全政策定義為“規定組織如何管理、保護和分發信息的指令、法規、規則和實踐的集合”。

由于組織具有不同的業務要求、合規義務和人員配備，因此沒有適用于所有人的單一信息安全策略。相反，每個 IT 部門都應該確定最能滿足其特定需求的策略選擇，并創建一個由高級利益相關者批準的簡單文檔。

信息安全策略有什么好處？

出于以下原因，信息安全策略至關重要：

(1) 確保數據的機密性、完整性和可用性

制定可靠的政策為識別和降低數據機密性、完整性和可用性風險(稱為CIA 三元組)提供了一種標準化方法，并提供了對問題作出響應的適當步驟。

(2) 幫助將風險降至最低

信息安全策略詳細說明了組織如何發現、評估和緩解 IT 漏洞以阻止安全威脅，以及在系統中斷或數據泄露后用于恢復的流程。

(3) 在整個組織內協調和執行安全計劃

任何安全計劃都需要創建一個有凝聚力的信息安全策略。這有助于防止出現分歧的部門決策，或者更糟的是，部門根本沒有政策。該策略定義了組織如何識別不執行有用安全功能的無關工具或流程。

(4) 將安全措施傳達給第三方和外部審計師

編纂安全策略使組織能夠輕松地將其圍繞 IT 資產和資源的安全措施傳達給員工和內部利益相關者，還可以傳達給外部審計師、承包商和其他第三方。

(5) 幫助組織合規

擁有完善的安全策略，在國外對于組織通過HIPAA 和CCPA等安全標準和法規的合規性審核非常重要，在我國則落實網絡安全等級保護和關鍵信息基礎設施安全保護等合規性非常重要。審計師通常會要求公司提供有關其內部控制的文檔，而信息安全政策可幫助組織證明執行了所需的任務，例如：

• 定期評估當前 IT 安全策略的充分性
• 執行風險評估以發現和緩解技術或工作流程中的漏洞
• 分析現有系統在數據完整性、網絡安全方面的功效

在制定信息安全政策時，有哪些好的資源可供參考？

制定信息安全策略可能是一項艱巨的任務。以下框架提供了有關如何制定和維護安全策略的指南：

• 網絡安全等級保護—網絡安全等級保護是我國網絡安全領域的基本制度、基本國策。通過一套體系化的要求和實現，確保網絡達到基線安全。
• COBIT — COBIT 專注于安全、風險管理和信息治理，對Sarbanes-Oxley (SOX) 合規性特別有價值。
• NIST 網絡安全框架——該框架提供與風險分析和風險管理的五個階段相一致的安全控制：識別、保護、檢測、響應和恢復。它通常用于水務、交通和能源生產等關鍵基礎設施領域。
• ISO/IEC 27000 — 來自國際標準組織的這個系列是最廣泛的框架之一。它可以適應各種類型和規模的組織，并針對特定行業設計了各種子標準。例如，ISO 27799 解決了醫療保健信息安全問題，對于受HIPAA 合規性約束的組織非常有用。該系列中的其他標準適用于云計算、數字證據收集和存儲安全等領域。

此外，各種組織發布數據安全策略模板，可以對其進行編輯以滿足需求，而不是從頭開始。

信息安全政策的關鍵要素是什么？

一般而言，信息安全策略應包括以下部分：

(1) 目的：闡明安全策略的目的。請務必確定該政策旨在幫助組織遵守的任何法規或法律。

(2) 范圍：詳細說明屬于該策略的內容，例如計算機和其他 IT 資產、數據存儲庫、用戶、系統和應用程序。

(3) 時間表：指定保單的生效日期。

(4) 權威：確定支持政策的個人或實體，例如公司所有者或董事會。

(5)政策合規性：列出數據安全政策旨在幫助組織遵守的所有法規，例如 HIPAA、SOX、PCI DSS 或 GLBA。

(6) 正文：描述每個領域的程序、過程和控制：

• 資產和信息分類和控制：描述如何按安全分類標記數據并應用控制以確保適當的數據保護。
• 信息保留：說明將如何存儲和備份數據，并執行保留時間表。
• 人員安全：有關人員事項的詳細安全程序，例如保密協議和人員篩選。
• 身份和訪問管理：描述有關用戶訪問、權限和密碼的管理策略。請務必注意基于用戶角色和職責的特殊要求，例如需要安全操作人員進行強身份驗證。本節還確定了網絡安全和應用程序訪問控制，以及云安全。
• 變更管理和事件管理：定義響應可能影響 IT 系統機密性、完整性或可用性的變更的程序。還要詳細說明針對安全隱患或系統故障的適當事件響應程序，以及負責這些任務的具體人員。
• 可接受的使用政策：描述個人如何將組織的網絡、互聯網訪問或設備用于商業和個人用途。詳細說明不同群體的任何差異，例如員工、承包商、志愿者或公眾
• 防病毒和補丁管理：指定應用防病毒更新和軟件補丁的程序。
• 物理和環境安全：制定有關物理安全的信息安全標準，例如上鎖的門和受控訪問區域。
• 通信和運營管理：描述系統規劃和驗收、內容備份和漏洞管理等領域的運營程序和職責。
• 信息和軟件交換：概述與外部各方交換數據或軟件的適當步驟。本節特別適用于與第三方合作或必須響應客戶或第三方數據請求的組織。確保符合隱私政策。
• 加密控制：指定加密的必要用途以實現安全目標，例如加密電子郵件附件或存儲在筆記本電腦上的數據。

(7) 用戶培訓：描述用戶必須接受的安全意識和其他培訓，以及負責開發和實施培訓的團隊。

(8) 聯系人：指定負責創建和編輯信息安全策略文件的人員或團隊。

(9) 版本歷史：跟蹤所有政策修訂。包括每次更新的日期和作者。

該遵循哪些最佳實踐來創建良好的安全策略?

遵循這些最佳實踐將幫助組織創建有效的信息安全策略：

• 獲得高管的支持。如果最高領導層簽署該政策，該政策將更容易實施和執行。
• 列出所有適當的安全法規。確保熟悉管理自己所在行業的所有法規，因為它們會嚴重影響政策內容。
• 評估系統、流程和數據。在起草文件之前，請先熟悉貴組織當前的系統、數據和工作流程。這將需要與業務伙伴密切合作。
• 為組織定制策略。確保該政策與組織的需求相關。花時間澄清政策的目標并確定其范圍。
• 識別風險。要概述適當的風險應對程序，組織必須識別潛在風險。許多組織通過風險評估來做到這一點。
• 對新的安全控制持開放態度。根據識別的風險，組織可能需要采用新的安全措施。
• 徹底記錄程序。信息安全政策的許多方面都依賴于它所描述的程序。有時，員工已經在執行這些工作流程，因此這一步只需將它們寫下來。在任何情況下，都要測試這些程序以確保它們是準確和完整的。
• 教育培訓。僅作為文檔存在的策略無法實現信息安全。確保所有員工都接受有關安全政策內容和合規實踐的培訓。

常問問題

(1) 什么是安全策略？

安全策略是一份書面文件，它為使用IT資產和資源的個人確定組織的標準和程序。

(2)  為什么安全策略很重要？

安全策略對于解決信息安全威脅和制定減輕IT安全風險的策略和程序是必要的。

(3) 好的安全策略的關鍵組成部分是什么？

強大的 IT 安全策略的基礎是對組織 IT 安全計劃目標的清晰描述，包括所有適用的合規標準。該政策還將詳細說明組織將用于正確管理、保護和分發信息的流程和控制。

(4) 最常見的安全策略失敗是什么？

最常見的失敗點是用戶對策略內容缺乏認識。如果沒有適當的用戶培訓和執行，即使是最好的安全策略也會產生錯誤的安全感，從而使關鍵資產面臨風險。