資訊保安策略建立步驟

 確定應用範圍

在制訂安全策略之前一個必要的步驟是確認該策略所應用的範圍，例如是在整個組織還是在某個部門。如果沒有明確範圍就制訂策略無異於無的放矢。

獲得管理支援

事實上任何專案的推進都無法離開管理層的支援，安全策略的實施也是如此。先從管理層獲得足夠的承諾有很多好處，可以為後面的工作鋪平道路，還可以瞭解組織總體上對安全策略的重視程度，而且與管理層的溝通也是將安全工作進一步導向更理想狀態的一個契機。

進行安全分析

這是一個經常被忽略的工作步驟，同時也是安全策略制訂工作中的一個重要步驟。這個步驟的主要目標是確定需要進行保護的資訊資產及其對組織的絕對和相對價值，在決定保護措施的時候需要參照這一步驟所獲得的資訊。進行這項工作時需要考慮的關鍵問題包括需要保護什麼、需要防範哪些威脅、受到攻擊的可能性、在攻擊發生時可能造成的損失、能夠採取什麼防範措施、防範措施的成本和效果評估等等。

會見關鍵人員

通常來說至少應該與負責技術部門和負責業務部門的人員進行一些會議，在這些會議上應該向這些人員灌輸在分析階段所得出的結論並爭取這些人員的認同。如果有其它屬於安全策略應用範圍內的業務單位，那麼也應該讓起加入到這項工作。

制訂策略草案

一旦就應用範圍內的採集的資訊達成一致並獲得了組織內部足夠的支援，就可以開始著手建立實際的策略了。這個策略版本會形成最終策略的框架和主要內容，並作為最後的評估和確認工作的基準。

開展策略評估

在之前已經與管理層及與安全策略執行相關的主要人員進行了溝通，而該部分工作在之前的基礎上進一步與所有風險承擔者一同對安全策略進行確認，從而最終形成修正後的正式的策略版本。在這個階段會往往會有更多的人員參與進來，應該進一步爭取所有相關人員的支援，至少應該獲得足夠的授權以保障安全策略的實施。

釋出安全策略

當安全策略完成之後還需要在組織內成功的進行釋出，使組織成員仔細閱讀並充分理解策略的內容。可以通過組織主要的資訊釋出渠道對安全策略進行廣泛釋出，例如組織的內部資訊系統、例會、培訓活動等等。

隨需修訂策略

隨著應用環境的變化，資訊保安策略也必須隨之變化和發展才能夠繼續發揮作用。通常組織應該每個季度進行一次策略的評估，每年至少應該進行一次策略更新。

本文轉自 離子翼 51CTO部落格，原文連結：http://blog.51cto.com/ionwing/1158008，如需轉載請自行聯絡原作者