策略制定方針

通常，將策略制定看成一種兩階段式的工程是很有用的。工程的第一階段是設(shè)計(jì)和制定策略（或?qū)⑦^時(shí)的策略重新設(shè)計(jì)和改寫），而第二階段則是為策略在機(jī)構(gòu)內(nèi)部有效延續(xù)建立管理程序。前者是一種工程管理實(shí)施過程，而后者則需要不斷地進(jìn)行高質(zhì)量的業(yè)務(wù)實(shí)踐。

策略項(xiàng)目

與其他IT工程一樣，一項(xiàng)策略的制定與再制定工程應(yīng)該計(jì)劃完備、投資合理以及管理積極，從而確保其能夠按時(shí)完成和不超出預(yù)算。系統(tǒng)開發(fā)生命周期( SDLC)是實(shí)現(xiàn)這個(gè)目標(biāo)的一種途徑。在第2章中，你已經(jīng)對(duì)SDLC的一種形式很熟悉了，即安全系統(tǒng)開發(fā)生命周期( SecSDLC)。接下來的討論將圍繞策略制定來詳細(xì)敘述SecSDLC。在第12章中，你將進(jìn)一步了解信息安全領(lǐng)域的工程管理。

當(dāng)進(jìn)行一項(xiàng)策略制定工程時(shí)，可以用SecSDLC過程對(duì)其進(jìn)行指導(dǎo)。接下來的部分中將講述SecSDLC中每一階段的任務(wù)。