收集主要参考材料
信息安全策略应主要依靠机构所处理和使用的信息特性推动制定。一个人应当熟悉机构所处理的信息特性。信息的一个理想来源(或者说元数据)是数据字典。机构为高层主管、董事会成员、兼并的候选对象以及战略伙伴提供了内部信息系统,对该系统的全面纵览,也许能为策略制定工作提供有用的背景信息。 因为信息系统变更迅速,可用文档极易过期。应当询问有见识的员工,以准确地了解机构当前处理的信息特性,具体包括:什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。
当需要制定一整套信息安全策略时,应当参考一份近期的风险评估或信息技术审计,以便清楚地了解机构当前的信息安全需要。一份记录近期事件细节的损失文档,在确定哪些是需要进一步注意的部分时,这都是较为有用的。策略文档中也应当包含法律诉讼、投诉文档以及其他的争论资料。为了进一步了解存在的问题,可以召开相关人员会议,比如内部法律辩护律师、物理安全主管、首席信息官、内部审计主管以及人力资源主管。
为确定哪些部分需要进一步注意,应收集机构当前所有其他相关的策略文档。相关策略,包括应用系统开发策略、计算机操作策略、计算机设备购买策略、 人力资源策略、信息系统质量控制策略以及物理安全策略。若可从其他同行业机构那里获得策略,也能提供有用的背景。如果目标机构是另一机构的附属或分支,则应该获得母机构的策略作为参考。如果目标机构是电子数据交换、增值网络、多机构网上商业协作,或其他多机构网络的参与者,就应当取得这些网络策略,并对其进行评审。
当开发人员的时间和资源受到很大的限制;会跳过上述数据收集过程。数据收集过程一旦被大量简化,管理层否决最后的文档的可能性将增加。正是通过数据收集过程,才确认了管理层的信息安全观。它涉及到的内容主要包括已有策略、需要增加或修改的策略、怎样通过管理来提高策略,机构所面临的惟一弱点以及其他必要的背景信息。如果没有仔细地考虑这些背景信息,则新建的信息安全策略不可能与机构的真正需求一致。
为准确制定策略而进行大量背景研究的另一个主要原因是为了确保策略文档中的要求与管理目标相一致。如果提出一套与原有机构标准明显不一致的策略,那么信息安全策略的权威性也就荡然无存。例如,高技术公司的员工在中途休息时间或下班后经常从网上下载游戏,并在工作地点玩。而高层管理了解并默许这些行为。另一方面,公司明令禁止公物私用。这些明显的不一致使公司的大多数员工认为,策略文档是与自己不相关的。
用大量的时间进行背景研究的另一个重要理由,是弄清并定义与业务相关的机构策略计划方向。如果最高管理层同意并支持这一策略,那么新的或被修改的策略文档就需要与这些策略方向相一致。例如,如果机构决定再次集中当前分散的信息系统活动,并且这些活动是由一些分散的信息系统协调人员负责执行,那么强调这些活动的策略文档就与管理目标不一致,因而不可能获得通过。
在制定策略以前,对现状进行彻底研究的另一个理由是要弄清内部信息系统体系结构。信息安全策略文档应当与已有的信息系统体系结构相一致,并且对其完全支持。这不是针对信息安全体系结构,而是针对信息系统体系结构。一个信息安全策略文档一般在信息系统体系结构确立以后制定。信息安全策略文档的制定将允许信息安全体系结构的制定。例如,允许通过因特网防火墙访问的策略可使安全体系结构具体化。它也有利于选择和实施适当的防火墙产品。