【正文】 系統(tǒng)中的文件確定讀、寫、執(zhí)行的許可。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式安全策略的審計部分應(yīng)確定所有系統(tǒng)上需要審計的事件類型。通常安全策略需對下列事件進行審計：成功或失敗的登錄、退出系統(tǒng)、對文件或系統(tǒng)的訪問失敗、成功或失敗的遠(yuǎn)程訪問、特權(quán)操作（由管理員操作，成功或失?。⑾到y(tǒng)事件（關(guān)機或重啟）。對每個事件應(yīng)捕獲下列信息：用戶 ID、日期和時間、進程 ID、執(zhí)行的動作、事件的成功或失敗。安全策略應(yīng)說明審計記錄應(yīng)保存多久以及如何存放。如有可能，安全策略還應(yīng)確定如何檢查審計記錄以及檢查的時間間隔。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式對每一種接到組織網(wǎng)絡(luò)的連接形式，安全策略應(yīng)說明連接的規(guī)則以及保護機制。對撥號連接，應(yīng)說明對這類連接技術(shù)的鑒別要求。該要求應(yīng)指回到策略的身份鑒別這一部分。也可能描述一個比通常使用的更強的身份鑒別。此外，安全策略應(yīng)確定開始得到撥號訪問的身份鑒別要求。對一個組織來說，應(yīng)嚴(yán)格控制允許多少個撥號訪問點，因此應(yīng)公平地限制身份鑒別的要求。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式一個組織的固定網(wǎng)絡(luò)連接是由某些類型的固定通信線路接入的。安全策略應(yīng)確定用于這些連接的安全設(shè)備類型。通常防火墻是合適的設(shè)備。僅僅說明設(shè)備類型并不意味著說明了相應(yīng)的保護級別。安全策略應(yīng)定義一個設(shè)備的基本網(wǎng)絡(luò)訪問控制策略以及請求和得到訪問的過程。這些在標(biāo)準(zhǔn)的配置中是沒有的。對內(nèi)部系統(tǒng)的遠(yuǎn)程訪問是組織允許員工在外出時從外部訪問內(nèi)部系統(tǒng)。安全策略應(yīng)說明這類訪問所采用的機制。對這類訪問，所有的通信應(yīng)加密保護，并在加密部分說明密碼類型。因為訪問來自外部，應(yīng)確定一個強的身份鑒別機制。安全策略還應(yīng)對允許員工得到這類訪問的授權(quán)建立一個正確的過程。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式安全策略應(yīng)確定搜索惡意代碼（如病毒、特洛伊木馬）的安全程序的存放位置。合適的位置包括文件服務(wù)器、桌面系統(tǒng)以及電子郵件服務(wù)器等。安全策略應(yīng)說明這些安全程序的要求，包括檢查專門的文件系統(tǒng)的安全程序要求以及當(dāng)這些文件打開時檢查這些文件。策略還應(yīng)要求對安全程序周期地更新簽名。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式安全策略應(yīng)確定使用在組織內(nèi)的可接受的加密算法，在信息策略中指出保護敏感信息的相應(yīng)算法。安全策略不限制僅僅選擇一種算法。安全策略還應(yīng)說明密鑰管理需要的過程。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式計算機用戶策略規(guī)定了誰可以使用計算機系統(tǒng)以及使用計算機系統(tǒng)的規(guī)則。策略應(yīng)清楚地說明所有計算機屬于本組織，并且提供給員工在組織內(nèi)用于工作相一致的用途。策略也可能禁止使用非組織的計算機用于組織的經(jīng)營業(yè)務(wù)。例如，員工希望在家里做某些工作，組織將為其提供計算機，但只有組織提供的計算機可通過遠(yuǎn)程訪問系統(tǒng)接到組織內(nèi)部的計算機系統(tǒng)。 計算機用戶策略單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式策略應(yīng)規(guī)定所有存儲并用于組織內(nèi)的計算機的信息屬于組織所有。某些員工可能使用組織的計算機存儲個人信息，如果策略沒有特殊說明，則個人信息可分開存在私人目錄下，并且非公開的。大部分組織期望員工只使用組織提供的計算機，用于和工作有關(guān)的目的。但這不總是一個很好的假定。因此在策略中要明確說明。有時，組織允許員工為了其他目的使用組織的計算機。如果是這樣，應(yīng)在策略中清楚說明。使用組織提供的計算機還影響到什么軟件加載到系統(tǒng)。規(guī)定非授權(quán)軟件不允許裝入系統(tǒng)。策略應(yīng)規(guī)定誰可以裝載授權(quán)軟件以及怎樣成為合法軟件。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式計算機用戶策略中最重要的部分或許是規(guī)定在任何組織的計算機存儲、讀出、接收的信息都沒有隱私。這對員工是十分重要的，他們應(yīng)了解任何信息有可能被管理員檢查，包括電子郵件。也就是說，使員工了解管理員或安全職員可能監(jiān)視所有和計算機相關(guān)的動作，包括監(jiān)視 Web 站點。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式Inter使用策略經(jīng)常包括在通用計算機使用策略中。然而，由于 Inter的特殊性，有時將它作為單獨的策略。 Inter的接入可以提高員工的工作效率。但 Inter也給員工提供了一個濫用計算機資源的機會。Inter使用策略規(guī)定了如何合理地使用 Inter，諸如和業(yè)務(wù)有關(guān)的研究、采購，或使用電子郵件通信等；確定哪些是非正當(dāng)使用，諸如訪問和業(yè)務(wù)無關(guān)的Web 站點、下載有版權(quán)的軟件、音樂文件的交易、發(fā)送連鎖郵件等。 Inter使用策略單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式假如該策略是從計算機用戶策略分離出來的，它應(yīng)說明組織有可能監(jiān)視員工對 Inter的使用，當(dāng)員工使用 Inter時，沒有隱私的問題。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式有些組織為電子郵件的使用開發(fā)了專門的策略。電子郵件正越來越多地用于組織的業(yè)務(wù)處理。電子郵件是使組織的敏感信息毫無價值的另一種方法。當(dāng)一個組織選擇定義電子郵件策略時，應(yīng)考慮到內(nèi)外兩方面的問題。 郵件策略單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式電子郵件策略不應(yīng)和其他的人力資源策略相沖突。例如，電子郵件策略應(yīng)規(guī)定禁止利用電子郵件進行性騷擾；又如，規(guī)定在電子郵件中不用非正式用語和同伴通信。如果組織要對電子郵件的某些關(guān)鍵字或附件進行監(jiān)控，則策略應(yīng)說明這類監(jiān)控可能發(fā)生。策略還應(yīng)對員工說明不能期望在電子郵件中有隱私。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式電子郵件可能包含一些敏感信息。郵件策略說明在什么條件下是可以接受的，并且在信息策略中指出該類信息應(yīng)如何保護。也可能在外部郵件的底部指出相應(yīng)的信息必須保護。郵件策略還應(yīng)識別進入的電子郵件問題。例如，很多組織測試進入的文件附件是否有病毒。該策略應(yīng)指向組織的安全策略關(guān)于相應(yīng)的病毒配置問題。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式用戶管理程序是最容易被組織忽視的安全程序，因而提供了最大風(fēng)險的可能。保護系統(tǒng)不被非授權(quán)者使用的安全機制是一個很好的事情，但是如計算機系統(tǒng)的使用沒有合適的管理也將使其完全無用。應(yīng)為新員工提供一個正確訪問計算機資源的程序。應(yīng)該由人力資源部門和系統(tǒng)管理員協(xié)同工作。理想的狀況是新員工請求使用計算機資源，該新員工的管理者簽發(fā)批準(zhǔn)，然后系統(tǒng)管理員將為該新員工提供合適的系統(tǒng)和文件的訪問。這個程序也應(yīng)用于新的顧問和臨時員工，并標(biāo)明相應(yīng)的有效期。 用戶管理程序單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式對工作調(diào)動的員工也應(yīng)開發(fā)一個專門的程序。這個程序的開發(fā)由人力資源