安全策略體系和安全人員管理（Day003）

安全策略是高級管理層（或是選定的董事會和委員會）制定的一個全面聲明，它規定安全在組織內所扮演的角色。安全策略可以是組織化策略，也可以是針對特定問題的策略或針對系統的策略。在組織化安全策略中，管理層規定了應該如何建立安全計劃，制定安全計劃的目標，分配責任，說明安全的戰略和戰術價值，並且概述了應該如何執行安全計劃。這種策略必須涉及相關法律、規章、責任以及如何遵守這些規定。組織化安全策略為組織內部未來的所有安全活動提供了範圍和方向，還說明了高級管理層願意接受多大的風險。

安全策略具有一些必須理解和實現的重要特徵：

1. 業務目標應促進策略的制定、實現和執行。該策略應當不規定業務目標。
2. 組織化安全策略應當是一份易於理解的文檔，為管理層和所有員工提供參考。
3. 應當開發和用於將安全整合到所有業務功能和過程中。
4. 應當源於並支持適用於公司的所有法律法規。
5. 應當隨公司的發展變化（如採用新的商業模式、與其他公司合併或者所有權發生變更）進行審核和修訂。
6. 組織化安全策略的每次更迭都應當註明日期並在版本控制下進行。
7. 受該策略監管的部門和個人必須能夠查看適用於他們的策略內容，並且不必閱讀整個策略材料就能找到指導和答案。
8. 制定策略應以該策略一次性能夠使用兒年為目的。這將有助於確保策略具有足夠的前瞻性，從而能夠處理將來的安全環境中可能出現的任何潛在變化。
9. 策略表述的專業水平能夠強化其重要性以及遵守的必要性。
10. 策略中不應包含任何人都無法理解的語言。必須使用清楚的、易於理解和接受的陳述性聲明。
11. 定期對策略進行審核，並根據自上一次審核和修訂以來發生的事故加以改編。

常見的安全策略：

1. 風險管理策略
2. 脆弱性管理策略
3. 數據保護策略
4. 訪問控制策略
5. 業務連續性策略
6. 日誌聚集和審計策略
7. 人員安全策略
8. 物理安全策略
9. 安全應用程序開發策略
10. 變更控制策略
11. 電子郵件策略
12. 事件響應策略

標準指強制性的活動、動作或規則，它可以為策略提供方向上的支持和實施。

• 「基線」可以指一個用於在將來變更時進行比較的時間點。只要風險得到緩解，而且實現了安全策略，就可以對基線進行正式審核並達成一致意見，之後再進一步通過比較和開發來進行評估。基線可以產生一致的參考點。
• 指南是在沒有應用特定標準時向用戶、IT人員、運營人員及其他人員提供的建議性動作和操作指導。
• 措施是為了達到特定目標而應當執行的詳細的、分步驟的任務。這些步驟可以應用於需要完成特定任務的用戶、IT人員、運營人員、安全人員及其他人員。

舉一個例子：某個公司在其安全方針中聲明：所有的機密信息必須得到加密保護。這種聲明是很寬泛而模糊的，這時候，一個強制性的標準進一步指出：所有保存在資料庫中的客戶信息必須採用DES演算法進行加密，數據的傳輸必須使用IPSec這一VPN技術。具體執行安全策略時，相應的程序會詳細解釋怎樣實施DES及IPSec技術。對於某些意外的情況，比如數據傳輸過程中遭受的竊取或破壞，相應的處理方法就可以通過指南來描述。

安全形色是指個人在組織內部的整個安全事務管理方案中所扮演的角色。因為並不總是明確的或靜態的，所以安全形色在工作描述中不是必須被規定的。熟悉安全形色將對在組織內部建立通信和支持結構很有幫助， 這種結構能夠支持安全策略的部署和執行。接下來，我們將按照在安全環境中出現的邏輯順序介紹6種安全形色:

高級管理者：組織所有者(高層管理者)的角色被分配給最終負責組織機構安全維護和最關心保護資產的人。高層管理者必須對所有策略問題籤字。事實上，所有活動在被執行之前， 都必須得到高層管理者的認可和簽字。如果沒有高層管理者的授權和支持，那麼就不存在有效的安全策略。高層管理者對安全策略的認同表明承認在組織機構內部實現的安全性的所有權。高層管理者對安全解決方案的總體成敗負有責任，並且負責對組織機構建立安全性予以適度關注並盡職盡責。雖然高層管理者對安全負有最終責任， 但他們實際上很少去實現安全解決方案。在大多數情況下，相應的責任會被委派給組織內部的安全專家。

安全專家：安全專家、信息安全官或計算機應急響應團隊(Computer Incident Response Team ，CIRT)的角色被分配給受過培訓和經驗豐富的網路工程師、系統工程師和安全工程師，他們對落實高層管理部門下達的指示負責。安全專家的職責是保證安全性，包括制定和實現安全策略。安全專家的角色通常由負責設計和實現安全解決方案的團隊擔任，安全解決方案則是根據己批准的安全策略制定的。安全專家不是決策制定者， 他們只是實現者。所有的決策都必須由高層管理者制定。

數據所有者：數據所有者的角色被分配給在安全解決方案中為了放置和保護信息而負責對信息進行分類的人。通常，數據所有者是層次較高的、最終負責數據保護的管理者。然而， 數據所有者一般會將實際管理數據的任務委派給數據管理員。

數據管理員：數據管理員的角色被分配給負責實施安全策略和上層管理者規定的保護任務的用戶。數據管理員通過執行所有必要的措施為數據提供適當的CIA 三元組(機密性、完整性和可用性)保護，並完成上層管理者委派的要求和責任。這些必要的措施包括：完成和測試數據備份、確認數據的完整性、部署安全解決方案以及根據分類管理數據存儲。

用戶：用戶(最終用戶或操作者)的角色被分配給具有安全系統訪問許可權的任何人。用戶的訪問

許可權與他們的工作任務聯繫在一起並且受到限制，所以他們只具有工作職務所要求的能保證完成任務所需的權力(也就是最小特權原則)。用戶負責了解組織的安全策略，並遵守規定的操作過程， 在己定義的安全參數內進行操作，以便維護安全策略。

審計人員：另一個角色是審計人員。審計人員負責測試和認證安全策略是否被正確實現以及衍生的安全解決方案是否合適。審計人員的角色可以被分配給安全專家或受過培訓的用戶。審計人員要完成遵守情況報告和有效性報告，高層管理者會審查這些報告。通過這些報告發現的問題， 會由高層管理者轉換成下達給安全專家或數據管理員的新指示。不過，因為審計人員需要將用戶或操作者在環境中的工作作為審計和監控的活動來源，所以審計人員被列為最後一個角色。所有這些角色在安全環境中都起著重要的作用。對於確定義務和責任以及確定分級管理和任務委派方案，這些角色都非常有用。

應盡關注是指合適和合格的人在同一情況下採取預防措施。例如，忽略安全警告並點擊惡意網站的人則會違反應盡注意。

應盡職責可以被定義為在某人的力量內做任何事情來防止壞事發生。這方面的例子將是制定適當的策略、研究威脅並將其納入風險管理計劃中，並確保在適當的時候進行審計。

背景檢查是工作申請過程的一個部分，組織至少會審查申請人簡歷中的基本信息。

通過背景檢查，可以防止：

• 因為人員解僱而導致法律訴訟
• 因為僱用疏忽而導致第三方的法律訴訟
• 僱用不合格的人員
• 喪失商業秘密

員工從一般崗位轉入信息安全重要崗位，也應當對其進行檢查，對於處在有相當權力位置的人員，這種檢查應定期進行。

保密協議

組織應與所有員工簽訂保密協議，作為僱用合同基本條款的一部分。

保密協議應明確規定僱員對組織信息安全的責任、保密要求及違約的法律責任。

簽訂保密承諾旨在加強員工對組織信息安全應承擔的責任，協議上應有員工的簽名並由其保存一份協議副本。

對於處於試用期的新員工，要求其簽訂一份保密承諾。

在允許第三方用戶使用信息處理設施之前，要求其簽訂保密協議。

當僱用期或合同期有更改，特別是僱員到期離職或合同終止時，應重申保密協議。

相關測試、答疑和更多學習資料和活動，請添加微信號 istudy1314 。