企业应该保护的资产为何物?譬如物理财产、知识财产、经营资源、企业形象、股东、职工和交易等。威胁这些内容的危险是什么?非法***、失盗、窃听、诽谤中伤和业务妨碍。怎样进行防卫(保护到哪里,将重点放在哪里,防卫上的制约条件是什么)?预防、监视、应付、保险和外部委托等。最高经营管理者必须亲自用明确的语言宣布这些内容。
如果确定了企业整体的基本方针,接着就逐渐成为各事业领域、部门和往来客户等具体事务要素和环境的对策和行动标准。这属于中级水平的方针,即安全运用规则,如图16—10所示。
所谓安全运用规则是指系统管理者、管理干部和其他有关者在各自立场上,将把作用和责任的维持管理、周知、教育方法、紧急情况下的应对流程、对信息系统的访问权限、认证、安全系统管理方针、与外界的交流规则和对违反规则的处置等方面进行明文化了的内容。CISO召集的网络安全委员会承担此项内容的制定。它的制定并不拘泥于个别技术要素而是从完成业务的角度记述。
最终,安全策略作为企业现场的行动手册,分解成详细方针之后才成为切身的问题,而***到每一个组织内。因而它是现场的行动手册,具体内容上必须简明易懂。例如“口令管理规定”,它的内容就应该包含添加用户ID的申请和发布程序、承认和停止方法、消除程序、口令的设定和运用规则、初期口令的散发要领等等。
花费很大精力制定的安全策略,如果得不到遵守,而且也不进行适宜的修订放置不管,那么就没什么意义。即使有了基于用户认证的严格的访问控制规定,如果在实际运用过程当中,用户平常随便交流口令ID,这就等同于口令的公开化,和没制定安全策略没什么两样。总之,如果谈安全策略,容易把关心集中在技术方面,但是我们应该充分地认识到如在打开计算机画面的状态下离席或者传递电子邮件的失误或者口令的简单管理等等平时不注意和怠慢的行为都能成为明显降低安全水平的原因。
为此我们也要进行让员工彻底了解安全策略的教育普及活动,如表16—1所示,开展让安全水平保持最适状态的维护活动,从而不断地维持和改善网络的安全水平。当然教育普及、维护的重点是CISO。实际上通常情况下,以CISO为首的网络安全委员会将得到安全策略运营部门的合作,与现场技术人员共同负责教育活动。例如:在安排工作岗位时,要求最低限度的教育训练,在定期公司内部学习会上展示日常事例,想办法做到让员工完全了解各种利用规定。正面提出必须遵守安全策略对公司员工来说,容易被认为是无故增加环节、拖延业务进行,所以很可能在实施过程中受到抵制,为了防止这些现象的发生,非常有必要进行充分的说明和教育,让公司员工充分领会安全策略的重要性。