策略、標準和實踐

策略被定義為“政府、政黨或者商業機構的一套行動計劃或步驟，旨在影響和決定決策、行為及其他方面”。換句話說，策略包含一套規則，規定了在機構內可接受和不可接受的行為。策略應當詳細規定怎樣處罰違規行為，并定義上述規程。策略的一個運用實例就是禁止在工作場所瀏覽不適宜的網站。為了執行策略，機構必須實施一套標準，以準確定義在工作場所哪些行為是違反規定的，以及機構對該行為的懲罰標準。標準是對策略的行為規則更詳細的描述。在實施過程中，機構應當針對各種違規行為制定一套標準，并列出這些行為的詳細資料。 然后，應當采用技術控制和相關的過程，防止機構人員訪問色情網站。實踐、過程和指導方針解釋了員工應當怎樣遵守策略。圖4—2描述了策略、標準和實踐三者之間的關系。

為了使策略有效，應該通過員工手冊、企業內部網和定期增刊對策略進行大量宣傳。機構的所有員工應當認真閱讀、理解，并且同意遵守機構的策略；另外， 策略需要經常性地修改和維護，需要變化時.，策略也要改進。

為了制定一個完整的信息安全策略，管理層應當定義3種類型的安全策略。 這3種類型源于（MST的800系列特別報告書，《公認[安全]原則和操作》）《NIST Special Publication 800-14》，它強調為高層管理者制定策略的需求（本章隨后將更詳細討論該文獻，它被推薦給參與制定策略的專業人員，在http：//csrc. nist. gov/ publications/nistpubs/800 -14. pclf.可以找到此文獻）。這3種策略類型如下所述：

*企業信息安全項目策略

*基于問題的安全策略

*基于系統的安全策略

在多數機構中都可以看到每一種類型的策略。策略的一般制定步驟是，首先建立最高級策略——企業安全策略；隨后，制定基于問題和基于系統的策略，以滿

足總的安全策略要求，這3種策略將在隨后章節詳細描述。