如何制定有效的信息安全策略

■ 北京 赵贤

信息安全策略是企业安全计划的基础，理想情况下，应基于其对风险的承受能力和法规义务，以清晰的语言来确定组织对安全运营的目标和期望。

但是安全顾问表示，许多组织并没有充分重视编写和维护信息安全策略，而且没有记录什么有效信息就将其归档。

一些企业领导者往往将其视为一种练习，以至于他们只能检查已完成的工作。

另一方面，真正成熟的组织是根据它们面临的风险、风险承受能力、法规要求和所需的最佳实践，并且根据自身的需要和情况来定制信息安全策略，在需要时通过审阅和更新来积极管理其策略，从而形成了整个安全计划的基础。这样一来，企业可以更好地实现其期望的安全状态。

以下是有关信息安全策略中的7个常见问题及应对方案。

什么是信息安全策略？

信息安全策略是公司内部有关信息安全应采取何种措施的高级视图。

网络安全咨询公司TCE Strategy的CEO Bryce Austin认为，这是企业高管用来判断对企业是否足够安全的基线。

这并不是说要解决所有问题，而是要声明企业将要解决什么样的问题，并就如何解决它们来提供指导。

为什么需要信息安全策略？

政府法规以及某些行业标准，特别要求组织制定信息安全策略以及其他类型的与安全相关的制度。

但是，策略不仅仅是合规性要求。它是一种工具，可向组织发出有关其面临的安全风险的警告，并指导组织应当如何应对，以及在何种程度上应对。它还告知人们哪些行为可以接受，哪些行为不能接受，以及需要采取哪些措施，规则和限制以确保安全。

如果要从安全的角度来管理整个组织，那么信息安全策略就是做到这一点的最佳工具。

信息安全策略的目的是什么？

信息安全策略还可以通过记录要求的内容，禁止的内容以及由谁负责安全程序的哪些部分，来消除或减少组织的安全方法中的不一致之处。

它的重要性就在于，可以轻松认识到组织的程序中什么是合适的，什么是不合适的。

因此，CISO及其安全团队，以及合规性、风险和法律负责人在向业务部门解释与安全相关的需求时，可以指向策略中的信息，而这些需求可能会推迟实施某些特定的程序或流程。

此外，信息安全策略可用于指导组织对客户或合作伙伴的响应，这些客户或合作伙伴可能在共同开展业务之前要求组织证明其是否有充分的安全措施。

如何创建信息安全策略？

CISO通常会牵头进行安全策略的制定和更新，但是CISO还应该与财务、物理安全、法律、人力资源等，或至少一个业务部门的主管一起，以组建委员会或工作组的形式来共同制定信息安全策略。

战略性网络安全咨询和顾问公司SideChannel的合伙人兼联合创始人Brian Haugli认为，CISO对信息安全策略负有责任，但必须与其他部门执行团队合作。

团队应该从风险评估开始，以确定组织的脆弱性和关注领域，从数据泄露到大规模系统中断的可能性。团队应该评估这些潜在事件将会如何影响数据和系统的机密性、完整性和可用性。团队还需要了解组织对各种风险的容忍度，概述哪些属于低风险，哪些属于高风险以致会危及组织的生存。然后，团队还应考虑必须满足的监管要求。

在此，CISO应该明确指出所发现的漏洞和关注区域所需要的安全级别，并将所需的保护级别与组织的风险承受能力相匹配，从而使风险承受能力最低的区域获得最高的安全级别。

安全专家建议CISO及其团队使用诸如信息安全管理系统的ISO/IEC 27001标准之类的框架，以确保它们能够解决所有相关要素。

信息安全策略应包括哪些内容？

尽管安全专家建议每个组织制定适合自己的策略，但他们也同意所有策略都应包含针对通用的各个基本组件的内容。

鉴于此，他们认为所有信息安全策略都应详细说明组织的安全目标、策略的范围、资产分类、资产管理、访问控制、密码管理、数据分类、可接受使用策略（AUP）、防病毒和补丁程序管理，甚至物理安全。

一些组织可能还希望包含有关远程访问、移动设备、供应商管理和云安全等方面的内容。CISO应详细说明组织必须满足的监管要求、信息安全管理架构，以及哪些职位的人有着哪些职责。

安全专家还建议CISO应制定简洁明了的策略。一些人在制定信息安全策略时往往令策略过于复杂，但这应当是一份尽可能简洁的制度。

信息安全策略不应包括有关组织如何实现策略中提出的所有目标的详细说明，这些政策也不应包含技术成分。换而言之，策略中不应该包括如何实现所有的一切，因为这太过冗杂了。

信息安全策略应包括哪些文件？

有关组织如何实现信息安全策略目标的详细信息，可以在各种子策略、标准、指南和流程中找到，这是围绕安全策略的某些组成部分制定决策的地方。

例如，信息安全策略可以确定所有被分类为敏感或机密的数据都需要加密，但是单独的文档提供了有关要满足的加密标准的详细信息。

专家表示，当在考虑信息安全策略时，会将其视为全球性政策，在这里需要谈论组织的风险承受能力以及将遵循的框架，这是组织领导者需要担忧的非常高级别的内容。但是当遇到密码政策之类的问题时，组织领导者无需知道具体的密码中的最小字符等这些细枝末节。确实需要存在这些细微要求，只是不在组织领导者考虑之列。同样，我们还需要知道诸如哪些端口可以开放或者我们使用哪种加密技术。这些应该在支持信息安全策略的技术规范中可以找到。

其他可能在支持文档中细分的主题包括网络安全策略、备份恢复、灾难恢复、业务连续性、事件响应、数据管理/数据防泄漏以及内部威胁。

信息安全策略应多久更新一次？

有些法规要求对信息安全策略进行年度审查，但是安全专家表示，技术的快速发展和不断变化的威胁形势使得除了主要策略外，还需要更频繁地审查和更新相关支持标准、指南、流程和程序。这不是年度一次的活动，而是连续不断的工作。

专家们承认，期望组织每年进行一次以上的全面风险评估不尽合理，实际上，有些组织已经很难做到每年进行一次了，但是组织应该准备好在新法律法规出台或生效，或者监管要求进行调整，或新威胁出现时，能够更新这些文件。

专家建议CISO需要制定适当的流程，也许是信息安全策略委员会的审查流程，以确定变化的环境是否需要更新信息安全策略或任何其它支持性准则、流程、程序或标准。