具备这样的安全策略才叫真正的安全运营

发布时间 2019-09-25

安全策略是什么


安全策略(或政策)是对管理层的意图、期望和指导方向的高级别说明。安全策略可被视为安全治理的“宪法”,它们必须明确地与组织的战略安全目标保持一致,并为实现这些目标提供支持。

简言之,安全策略是一种声明或一组声明,旨在指导员工在组织的数据、资产、IT系统等安全性方面的行为,目的是为组织内的个人提供相关的指导和价值。这些安全策略定义了谁来做、怎么做以及为什么这么做以达到期望的行为,它们在组织的整体安全状况中发挥着重要作用。同时,安全策略反映了执行管理层的风险偏好,因此有助于在组织内建立相关的安全思维。

信息安全应与业务目标保持一致和平衡,还必须考虑业务流程以及重要的组织风险,包括监管要求、风险分析和相关的影响分析,以确定保护级别和优先级。


安全策略与安全战略息息相关,在组织的战略体系中,一般来说,安全战略属于IT战略,而IT战略属于组织战略,最终实现组织的愿景、目标和价值。因此,良好的安全策略是组织战略的一部分。安全战略的目标是达到业务和安全属性定义的理想状态。安全战略为包含一个或多个安全行动的计划提供基础,如果实施这些计划,就能实现安全目标。对于用来执行安全战略的行动计划,最重要的一方面是根据需要制定或修改安全策略。安全策略必须由董事会和高级管理层适当地制定、接收和验证,并在整个组织内广泛传达,有时还必须制定一些子策略来应对独立于整个组织的特殊情况。安全策略必须反映管理层的意图、期望和指导方向。随着安全战略的演变发展,支持性的策略也应该相应地发展以清晰地说明战略,这至关重要。


完成后的安全战略可为制定或修改现有的安全策略提供基础。安全策略应该可以直接追溯到安全战略元素。如果安全策略无法直接追溯到安全战略元素,要么是安全战略不完整,要么是安全策略不正确。显然,与安全战略抵触的安全策略是适得其反的。安全战略是对管理层意图、期望和指导方向的说明。反过来,安全策略必须与安全战略的意图和方向一致,并为其提供支持。


安全策略的内容


由于安全策略应反映组织中执行管理层的风险偏好,因此应从组织定义的风险开始,制定适当的安全策略以降低风险。安全策略通常是针对诸如组织资产的可用性、人员安全、密码、变更管理、访问控制、物理访问等主题制定的,合规性要求和监管要求也推动了制定安全策略的需求。

安全策略的内容将根据组织的规模大小、提供的服务、技术和安全投入进行调整。安全策略是一个不断更新的文档,以适应不断变化的业务和IT需求。安全策略可能包含以下部分或全部内容:

目的:说明该策略的目的和意图。
范围:说明该策略的覆盖范围,比如策略适用于谁或适用于什么场景。
背景:提供有关策略需求的信息。
策略声明:确定实际的指导原则或要做的事情,这些陈述旨在影响和确定覆盖范围内的决策和行动。
执行:明确指出策略的执行方式以及如何处理安全漏洞与/或不当行为。
责任:明确人员的相关责任,可能会确定谁将制定更详细的指导,以及何时审查和更新策略。
相关文档:列出影响此策略内容的所有文档或其他策略。
取消:标识在此策略生效时取消的任何现有策略。


安全策略的要点


安全策略的开发和制定应该是与安全经理,高级管理层以及对组织业务有透彻理解的人员的协作。安全策略应该清晰地表达明确定义的信息安全战略,并反映管理层的意图、期望和指导方向。

安全策略在组织中的角色

安全策略的主要目的之一是为组织及其员工提供保护,安全策略通过清晰地阐述什么样的信息资产需要被保护以及相关人员的安全责任来保护组织的关键信息和知识产权。当安全策略清楚有效地传达给员工时,他们可以采取相应的行动并对他们的行为负责,只要他们按照既定的安全策略行事,就可以降低来自外部的安全威胁。

安全策略的另一个关键作用是支持组织的使命。安全专业人员需要对业务需求保持敏感,在制定安全策略时应该明确安全策略如何支持组织的使命,是否解决了高级管理层的担忧,是否需要更多资源来维护和监控策略的实施。

无论如何,制定安全策略都要有依据。否则安全策略可能不符合组织的需求。并且制定安全策略是一个迭代的过程,需要执行管理层的认可才能发布。

确保安全策略可执行

安全策略本质上应该是指令性的,旨在指导和管理员工的行为,此外安全策略需要公平地适用于每个人,否则需要重新考虑安全策略。从CEO到新员工的每个人都必须遵守安全策略,如果高层管理人员不遵守安全策略,并且安全策略未能得到有效执行,则员工的行为不会直接转化为高效的安全实践,那么组织的安全治理和风险管理将不会有太大的成效,甚至会导致组织面临更大的安全风险。

使安全策略可执行的另一个重要因素是确保每个人都阅读并确认安全策略。并且考虑在适当的情况下逐步实施违反安全策略的后果,比如不遵守安全策略可导致行政行为,包括解雇。如果员工没有阅读并确认安全策略,则安全策略的可执行性会被削弱。

安全策略需简明扼要

安全策略的制定应该简洁、清晰和重点突出。安全策略越复杂和详细,更新要求越频繁,对于遵守它的人来说,培训和执行就越复杂。

每项安全策略都应针对特定的主题(例如,变更管理、访问控制等),以便安全更容易管理和维护。尽量用简单的语言和描述来编写安全策略,毕竟编写和发布安全策略是希望员工了解该策略,当员工了解安全策略时,他们将更容易遵守。

安全策略要及时更新

安全策略需要灵活且适应技术变化,随着新技术和流程的建立,安全策略也应该是一份经常更新的活动文件,以支持组织的使命。通过对组织过去的一段时间中所经历的变化来审核安全策略,了解新出现的安全威胁,所遭遇的安全事件以及在这些安全事件中得到的经验与教训,将其纳入到安全策略中,并让员工确认收到并遵守新的安全策略。

安全策略是良好安全计划的基础,通过清晰定义的安全策略,可以了解组织安全计划的人员,内容和原因。良好的安全策略将为组织提供保护和可接受的资产保护水平,免受外部和内部的威胁。



小贴士:



“5P”是启明星辰提出的评价安全运营的五个核心要素,五者缺一不可。安全运营“5P”通常是指policy、product、platform、professional、process,即安全策略、安全产品、安全运营平台、安全专业人员、安全运营流程。