具備這樣的安全策略才叫真正的安全運營
作者:啟明星辰
2020-09-24
俗話說��,謀無主則困�����,事無備則廢�����。簡言之���,不管做什么事都要有一定的策略和準備,否則將會一事無成���。因此��,對于真正的安全運營來說�,安全策略也必不可少�����!現在�,請跟隨小編��,了解一下安全策略吧��!
安全策略是什么
安全策略(或政策)是對管理層的意圖��、期望和指導方向的高級別說明���。安全策略可被視為安全治理的“憲法”�����,它們必須明確地與組織的戰略安全目標保持一致���,并為實現這些目標提供支持�。
簡言之�,安全策略是一種聲明或一組聲明�,旨在指導員工在組織的數據���、資產���、IT系統等安全性方面的行為����,目的是為組織內的個人提供相關的指導和價值�。這些安全策略定義了誰來做���、怎么做以及為什么這么做以達到期望的行為�����,它們在組織的整體安全狀況中發揮著重要作用�����。同時�����,安全策略反映了執行管理層的風險偏好��,因此有助于在組織內建立相關的安全思維��。
信息安全應與業務目標保持一致和平衡��,還必須考慮業務流程以及重要的組織風險�,包括監管要求��、風險分析和相關的影響分析���,以確定保護級別和優先級���。
安全策略與安全戰略息息相關�����,在組織的戰略體系中���,一般來說��,安全戰略屬于IT戰略���,而IT戰略屬于組織戰略���,最終實現組織的愿景����、目標和價值�����。因此�,良好的安全策略是組織戰略的一部分�����。安全戰略的目標是達到業務和安全屬性定義的理想狀態��。安全戰略為包含一個或多個安全行動的計劃提供基礎��,如果實施這些計劃����,就能實現安全目標����。對于用來執行安全戰略的行動計劃��,最重要的一方面是根據需要制定或修改安全策略�����。安全策略必須由董事會和高級管理層適當地制定����、接收和驗證�,并在整個組織內廣泛傳達���,有時還必須制定一些子策略來應對獨立于整個組織的特殊情況���。安全策略必須反映管理層的意圖�、期望和指導方向����。隨著安全戰略的演變發展��,支持性的策略也應該相應地發展以清晰地說明戰略����,這至關重要��。
完成后的安全戰略可為制定或修改現有的安全策略提供基礎����。安全策略應該可以直接追溯到安全戰略元素��。如果安全策略無法直接追溯到安全戰略元素�,要么是安全戰略不完整�����,要么是安全策略不正確��。顯然���,與安全戰略抵觸的安全策略是適得其反的���。安全戰略是對管理層意圖��、期望和指導方向的說明�����。反過來�����,安全策略必須與安全戰略的意圖和方向一致���,并為其提供支持�。
安全策略的內容
由于安全策略應反映組織中執行管理層的風險偏好���,因此應從組織定義的風險開始�����,制定適當的安全策略以降低風險�。安全策略通常是針對諸如組織資產的可用性�、人員安全���、密碼�、變更管理��、訪問控制�、物理訪問等主題制定的�����,合規性要求和監管要求也推動了制定安全策略的需求�����。
安全策略的內容將根據組織的規模大小����、提供的服務����、技術和安全投入進行調整�����。安全策略是一個不斷更新的文檔��,以適應不斷變化的業務和IT需求����。安全策略可能包含以下部分或全部內容:
目的:說明該策略的目的和意圖���。
范圍:說明該策略的覆蓋范圍���,比如策略適用于誰或適用于什么場景���。
背景:提供有關策略需求的信息�。
策略聲明:確定實際的指導原則或要做的事情���,這些陳述旨在影響和確定覆蓋范圍內的決策和行動����。
執行:明確指出策略的執行方式以及如何處理安全漏洞與/或不當行為�。
責任:明確人員的相關責任����,可能會確定誰將制定更詳細的指導����,以及何時審查和更新策略��。
相關文檔:列出影響此策略內容的所有文檔或其他策略����。
取消:標識在此策略生效時取消的任何現有策略�����。
安全策略的要點
安全策略的開發和制定應該是與安全經理����,高級管理層以及對組織業務有透徹理解的人員的協作��。安全策略應該清晰地表達明確定義的信息安全戰略���,并反映管理層的意圖���、期望和指導方向���。
● 安全策略在組織中的角色
安全策略的主要目的之一是為組織及其員工提供保護����,安全策略通過清晰地闡述什么樣的信息資產需要被保護以及相關人員的安全責任來保護組織的關鍵信息和知識產權���。當安全策略清楚有效地傳達給員工時���,他們可以采取相應的行動并對他們的行為負責�,只要他們按照既定的安全策略行事��,就可以降低來自外部的安全威脅����。
安全策略的另一個關鍵作用是支持組織的使命���。安全專業人員需要對業務需求保持敏感��,在制定安全策略時應該明確安全策略如何支持組織的使命��,是否解決了高級管理層的擔憂��,是否需要更多資源來維護和監控策略的實施����。
無論如何����,制定安全策略都要有依據����。否則安全策略可能不符合組織的需求��。并且制定安全策略是一個迭代的過程��,需要執行管理層的認可才能發布����。
● 確保安全策略可執行
安全策略本質上應該是指令性的��,旨在指導和管理員工的行為�����,此外安全策略需要公平地適用于每個人�,否則需要重新考慮安全策略�����。從CEO到新員工的每個人都必須遵守安全策略��,如果高層管理人員不遵守安全策略����,并且安全策略未能得到有效執行�����,則員工的行為不會直接轉化為高效的安全實踐���,那么組織的安全治理和風險管理將不會有太大的成效�����,甚至會導致組織面臨更大的安全風險�。
使安全策略可執行的另一個重要因素是確保每個人都閱讀并確認安全策略�����。并且考慮在適當的情況下逐步實施違反安全策略的后果�,比如不遵守安全策略可導致行政行為�,包括解雇��。如果員工沒有閱讀并確認安全策略��,則安全策略的可執行性會被削弱��。
● 安全策略需簡明扼要
安全策略的制定應該簡潔����、清晰和重點突出��。安全策略越復雜和詳細�,更新要求越頻繁����,對于遵守它的人來說�����,培訓和執行就越復雜��。
每項安全策略都應針對特定的主題(例如��,變更管理�����、訪問控制等)���,以便安全更容易管理和維護���。盡量用簡單的語言和描述來編寫安全策略�,畢竟編寫和發布安全策略是希望員工了解該策略����,當員工了解安全策略時�,他們將更容易遵守�。
● 安全策略要及時更新
安全策略需要靈活且適應技術變化����,隨著新技術和流程的建立�,安全策略也應該是一份經常更新的活動文件����,以支持組織的使命�。通過對組織過去的一段時間中所經歷的變化來審核安全策略�����,了解新出現的安全威脅��,所遭遇的安全事件以及在這些安全事件中得到的經驗與教訓��,將其納入到安全策略中��,并讓員工確認收到并遵守新的安全策略���。
安全策略是良好安全計劃的基礎��,通過清晰定義的安全策略�,可以了解組織安全計劃的人員��,內容和原因�����。良好的安全策略將為組織提供保護和可接受的資產保護水平��,免受外部和內部的威脅��。
小貼士:
“5P”是啟明星辰提出的評價安全運營的五個核心要素���,五者缺一不可���。安全運營“5P”通常是指policy��、product����、platform���、professional�����、process����,即安全策略��、安全產品���、安全運營平臺���、安全專業人員��、安全運營流程��。
京公網安備11010802024551號