如何制定有效的信息安全策略

■ 北京 趙賢

信息安全策略是企業(yè)安全計(jì)劃的基礎(chǔ)，理想情況下，應(yīng)基于其對(duì)風(fēng)險(xiǎn)的承受能力和法規(guī)義務(wù)，以清晰的語(yǔ)言來(lái)確定組織對(duì)安全運(yùn)營(yíng)的目標(biāo)和期望。

但是安全顧問(wèn)表示，許多組織并沒(méi)有充分重視編寫和維護(hù)信息安全策略，而且沒(méi)有記錄什么有效信息就將其歸檔。

一些企業(yè)領(lǐng)導(dǎo)者往往將其視為一種練習(xí)，以至于他們只能檢查已完成的工作。

另一方面，真正成熟的組織是根據(jù)它們面臨的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)承受能力、法規(guī)要求和所需的最佳實(shí)踐，并且根據(jù)自身的需要和情況來(lái)定制信息安全策略，在需要時(shí)通過(guò)審閱和更新來(lái)積極管理其策略，從而形成了整個(gè)安全計(jì)劃的基礎(chǔ)。這樣一來(lái)，企業(yè)可以更好地實(shí)現(xiàn)其期望的安全狀態(tài)。

以下是有關(guān)信息安全策略中的7個(gè)常見問(wèn)題及應(yīng)對(duì)方案。

什么是信息安全策略？

信息安全策略是公司內(nèi)部有關(guān)信息安全應(yīng)采取何種措施的高級(jí)視圖。

網(wǎng)絡(luò)安全咨詢公司TCE Strategy的CEO Bryce Austin認(rèn)為，這是企業(yè)高管用來(lái)判斷對(duì)企業(yè)是否足夠安全的基線。

這并不是說(shuō)要解決所有問(wèn)題，而是要聲明企業(yè)將要解決什么樣的問(wèn)題，并就如何解決它們來(lái)提供指導(dǎo)。

為什么需要信息安全策略？

政府法規(guī)以及某些行業(yè)標(biāo)準(zhǔn)，特別要求組織制定信息安全策略以及其他類型的與安全相關(guān)的制度。

但是，策略不僅僅是合規(guī)性要求。它是一種工具，可向組織發(fā)出有關(guān)其面臨的安全風(fēng)險(xiǎn)的警告，并指導(dǎo)組織應(yīng)當(dāng)如何應(yīng)對(duì)，以及在何種程度上應(yīng)對(duì)。它還告知人們哪些行為可以接受，哪些行為不能接受，以及需要采取哪些措施，規(guī)則和限制以確保安全。

如果要從安全的角度來(lái)管理整個(gè)組織，那么信息安全策略就是做到這一點(diǎn)的最佳工具。

信息安全策略的目的是什么？

信息安全策略還可以通過(guò)記錄要求的內(nèi)容，禁止的內(nèi)容以及由誰(shuí)負(fù)責(zé)安全程序的哪些部分，來(lái)消除或減少組織的安全方法中的不一致之處。

它的重要性就在于，可以輕松認(rèn)識(shí)到組織的程序中什么是合適的，什么是不合適的。

因此，CISO及其安全團(tuán)隊(duì)，以及合規(guī)性、風(fēng)險(xiǎn)和法律負(fù)責(zé)人在向業(yè)務(wù)部門解釋與安全相關(guān)的需求時(shí)，可以指向策略中的信息，而這些需求可能會(huì)推遲實(shí)施某些特定的程序或流程。

此外，信息安全策略可用于指導(dǎo)組織對(duì)客戶或合作伙伴的響應(yīng)，這些客戶或合作伙伴可能在共同開展業(yè)務(wù)之前要求組織證明其是否有充分的安全措施。

如何創(chuàng)建信息安全策略？

CISO通常會(huì)牽頭進(jìn)行安全策略的制定和更新，但是CISO還應(yīng)該與財(cái)務(wù)、物理安全、法律、人力資源等，或至少一個(gè)業(yè)務(wù)部門的主管一起，以組建委員會(huì)或工作組的形式來(lái)共同制定信息安全策略。

戰(zhàn)略性網(wǎng)絡(luò)安全咨詢和顧問(wèn)公司SideChannel的合伙人兼聯(lián)合創(chuàng)始人Brian Haugli認(rèn)為，CISO對(duì)信息安全策略負(fù)有責(zé)任，但必須與其他部門執(zhí)行團(tuán)隊(duì)合作。

團(tuán)隊(duì)?wèi)?yīng)該從風(fēng)險(xiǎn)評(píng)估開始，以確定組織的脆弱性和關(guān)注領(lǐng)域，從數(shù)據(jù)泄露到大規(guī)模系統(tǒng)中斷的可能性。團(tuán)隊(duì)?wèi)?yīng)該評(píng)估這些潛在事件將會(huì)如何影響數(shù)據(jù)和系統(tǒng)的機(jī)密性、完整性和可用性。團(tuán)隊(duì)還需要了解組織對(duì)各種風(fēng)險(xiǎn)的容忍度，概述哪些屬于低風(fēng)險(xiǎn)，哪些屬于高風(fēng)險(xiǎn)以致會(huì)危及組織的生存。然后，團(tuán)隊(duì)還應(yīng)考慮必須滿足的監(jiān)管要求。

在此，CISO應(yīng)該明確指出所發(fā)現(xiàn)的漏洞和關(guān)注區(qū)域所需要的安全級(jí)別，并將所需的保護(hù)級(jí)別與組織的風(fēng)險(xiǎn)承受能力相匹配，從而使風(fēng)險(xiǎn)承受能力最低的區(qū)域獲得最高的安全級(jí)別。

安全專家建議CISO及其團(tuán)隊(duì)使用諸如信息安全管理系統(tǒng)的ISO/IEC 27001標(biāo)準(zhǔn)之類的框架，以確保它們能夠解決所有相關(guān)要素。

信息安全策略應(yīng)包括哪些內(nèi)容？

盡管安全專家建議每個(gè)組織制定適合自己的策略，但他們也同意所有策略都應(yīng)包含針對(duì)通用的各個(gè)基本組件的內(nèi)容。

鑒于此，他們認(rèn)為所有信息安全策略都應(yīng)詳細(xì)說(shuō)明組織的安全目標(biāo)、策略的范圍、資產(chǎn)分類、資產(chǎn)管理、訪問(wèn)控制、密碼管理、數(shù)據(jù)分類、可接受使用策略（AUP）、防病毒和補(bǔ)丁程序管理，甚至物理安全。

一些組織可能還希望包含有關(guān)遠(yuǎn)程訪問(wèn)、移動(dòng)設(shè)備、供應(yīng)商管理和云安全等方面的內(nèi)容。CISO應(yīng)詳細(xì)說(shuō)明組織必須滿足的監(jiān)管要求、信息安全管理架構(gòu)，以及哪些職位的人有著哪些職責(zé)。

安全專家還建議CISO應(yīng)制定簡(jiǎn)潔明了的策略。一些人在制定信息安全策略時(shí)往往令策略過(guò)于復(fù)雜，但這應(yīng)當(dāng)是一份盡可能簡(jiǎn)潔的制度。

信息安全策略不應(yīng)包括有關(guān)組織如何實(shí)現(xiàn)策略中提出的所有目標(biāo)的詳細(xì)說(shuō)明，這些政策也不應(yīng)包含技術(shù)成分。換而言之，策略中不應(yīng)該包括如何實(shí)現(xiàn)所有的一切，因?yàn)檫@太過(guò)冗雜了。

信息安全策略應(yīng)包括哪些文件？

有關(guān)組織如何實(shí)現(xiàn)信息安全策略目標(biāo)的詳細(xì)信息，可以在各種子策略、標(biāo)準(zhǔn)、指南和流程中找到，這是圍繞安全策略的某些組成部分制定決策的地方。

例如，信息安全策略可以確定所有被分類為敏感或機(jī)密的數(shù)據(jù)都需要加密，但是單獨(dú)的文檔提供了有關(guān)要滿足的加密標(biāo)準(zhǔn)的詳細(xì)信息。

專家表示，當(dāng)在考慮信息安全策略時(shí)，會(huì)將其視為全球性政策，在這里需要談?wù)摻M織的風(fēng)險(xiǎn)承受能力以及將遵循的框架，這是組織領(lǐng)導(dǎo)者需要擔(dān)憂的非常高級(jí)別的內(nèi)容。但是當(dāng)遇到密碼政策之類的問(wèn)題時(shí)，組織領(lǐng)導(dǎo)者無(wú)需知道具體的密碼中的最小字符等這些細(xì)枝末節(jié)。確實(shí)需要存在這些細(xì)微要求，只是不在組織領(lǐng)導(dǎo)者考慮之列。同樣，我們還需要知道諸如哪些端口可以開放或者我們使用哪種加密技術(shù)。這些應(yīng)該在支持信息安全策略的技術(shù)規(guī)范中可以找到。

其他可能在支持文檔中細(xì)分的主題包括網(wǎng)絡(luò)安全策略、備份恢復(fù)、災(zāi)難恢復(fù)、業(yè)務(wù)連續(xù)性、事件響應(yīng)、數(shù)據(jù)管理/數(shù)據(jù)防泄漏以及內(nèi)部威脅。

信息安全策略應(yīng)多久更新一次？

有些法規(guī)要求對(duì)信息安全策略進(jìn)行年度審查，但是安全專家表示，技術(shù)的快速發(fā)展和不斷變化的威脅形勢(shì)使得除了主要策略外，還需要更頻繁地審查和更新相關(guān)支持標(biāo)準(zhǔn)、指南、流程和程序。這不是年度一次的活動(dòng)，而是連續(xù)不斷的工作。

專家們承認(rèn)，期望組織每年進(jìn)行一次以上的全面風(fēng)險(xiǎn)評(píng)估不盡合理，實(shí)際上，有些組織已經(jīng)很難做到每年進(jìn)行一次了，但是組織應(yīng)該準(zhǔn)備好在新法律法規(guī)出臺(tái)或生效，或者監(jiān)管要求進(jìn)行調(diào)整，或新威脅出現(xiàn)時(shí)，能夠更新這些文件。

專家建議CISO需要制定適當(dāng)?shù)牧鞒蹋苍S是信息安全策略委員會(huì)的審查流程，以確定變化的環(huán)境是否需要更新信息安全策略或任何其它支持性準(zhǔn)則、流程、程序或標(biāo)準(zhǔn)。