【正文】 編輯母版副標題樣式因為安全策略對組織的全體員工都有影響，所以安全專業(yè)人員必須負責對員工進行安全教育，人力資源部門和培訓部門要協(xié)助進行。安全策略對每個部門都有影響，必須在各部門貫徹。在草擬過程中，還要不斷聽取上述有關人員的意見和建議。應該征求組織的總顧問以及人力資源部門的建議，此外，系統(tǒng)管理員、計算機系統(tǒng)用戶以及物理安全部門的建議也是重要的。對安全專業(yè)人員來說應該知道不是所有策略對所有組織都是適用的。組織的文化使員工及管理者相信這樣做能很好完成他們的任務。這取決于該組織的業(yè)務性質。災難恢復計劃的測試可能十分昂貴且有破壞作用。如果是一個電子商務站點，則最關鍵的系統(tǒng)可能是計算機系統(tǒng)和網(wǎng)絡。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式場地破壞事件是災難恢復計劃通常需要考慮的一類事件。其中必須解決的一個問題是有可能丟失設備，災難恢復計劃應包括如何得到備用的設備。不論什么樣的解決方案，災難恢復計劃必須能修復故障，使系統(tǒng)繼續(xù)運行。 災難恢復計劃單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式單個系統(tǒng)或設備故障包括盤、主板、網(wǎng)絡接口卡、元件的故障。然而，很多組織卻沒有，因為他們認為災難恢復計劃要花很多錢，需要建立一個熱備站，配置場地和必要的設備，以便隨時接替運行。（ 4） 實施項目實施階段同樣有安全要求。在設計中對不能滿足安全要求之處應特別指出，并予以妥善解決。設計方法應指出組織的安全策略和信息策略的要求。在變更以后，應更新系統(tǒng)配置以反映系統(tǒng)的新的狀態(tài)。對于一個新的系統(tǒng)，它的狀態(tài)應有文檔，包括操作系統(tǒng)及其版本、補丁水平、應用程序及其版本。這些測試可事先公布，也可不公布。有兩個好處，其一是有助于事故過后了解所發(fā)生的事件全過程；其二是如果要起訴，則有助于法律實施，對事故響應組也可作為一本參考手冊，有助于他們處理事故。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式事故響應的一個重要部分是決定事故響應組的負責人，授權采取行動，包括確定系統(tǒng)是否要離線，以及和客戶、新聞機構、律師部門聯(lián)系等。信息發(fā)布的方式、方法也應考慮對組織的正面效應。而某些不是顯而易見的事故，管理員應確定檢查的步驟。某些事故是顯而易見的，如 Web 站點的外貌被損壞。當處理事故時，事故響應程序應確定該組織的目標，包括保護組織的系統(tǒng)、保護組織的信息、恢復運行、起訴肇事者、減少壞的宣傳等。無論如何，總應進行監(jiān)控，且歸檔。如采用自動工具，程序應規(guī)定工具的配置以及希望它如何處理。在審計時，安全應和系統(tǒng)管理一起工作以檢查系統(tǒng)的一致。程序應確定多長間隔需進行掃描。最后，當這樣的升級發(fā)生時（通常在維護窗口）該程序應做文檔，當升級失敗時放棄程序。系統(tǒng)管理程序應確定各種和安全相關的系統(tǒng)管理如何完成。最重要的用戶管理程序是將離職的員工從系統(tǒng)中除去。 用戶管理程序單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式對工作調動的員工也應開發(fā)一個專門的程序。應為新員工提供一個正確訪問計算機資源的程序。例如，很多組織測試進入的文件附件是否有病毒。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式電子郵件可能包含一些敏感信息。 郵件策略單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式電子郵件策略不應和其他的人力資源策略相沖突。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式有些組織為電子郵件的使用開發(fā)了專門的策略。 Inter的接入可以提高員工的工作效率。這對員工是十分重要的，他們應了解任何信息有可能被管理員檢查，包括電子郵件。使用組織提供的計算機還影響到什么軟件加載到系統(tǒng)。但這不總是一個很好的假定。例如，員工希望在家里做某些工作，組織將為其提供計算機，但只有組織提供的計算機可通過遠程訪問系統(tǒng)接到組織內部的計算機系統(tǒng)。安全策略還應說明密鑰管理需要的過程。安全策略應說明這些安全程序的要求，包括檢查專門的文件系統(tǒng)的安全程序要求以及當這些文件打開時檢查這些文件。因為訪問來自外部，應確定一個強的身份鑒別機制。這些在標準的配置中是沒有的。安全策略應確定用于這些連接的安全設備類型。也可能描述一個比通常使用的更強的身份鑒別。如有可能，安全策略還應確定如何檢查審計記錄以及檢查的時間間隔。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式安全策略的審計部分應確定所有系統(tǒng)上需要審計的事件類型。這個機制應和身份鑒別機制一起工作，以確保只有授權用戶能訪問文件。當開發(fā)安全策略時，每個組織還應決定是對管理員采用相同的機制，還是更強的機制。 系統(tǒng)和網(wǎng)絡安全策略單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式安全策略應確定如何識別用戶。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式安全策略規(guī)定計算機系統(tǒng)和網(wǎng)絡設備安全的技術要求，規(guī)定系統(tǒng)或網(wǎng)絡管理員應如何配置與安全相關的系統(tǒng)。對傳真方式的傳送，發(fā)送者需要用電話事先通知接收者等候在傳真機旁?？梢杂貌煌椒▊鬏斝畔?，如電子郵件、通過郵局郵寄、傳真等。極端情況需要加密措施。通常用醒目的大寫或斜體字標記。（ 3） 第三類信息稱為 “限制 ”或 “保護 ”。對大部分組織而言，通常將信息分成二或三級已足夠了，具體如下：（ 1） 最低級別的信息應該是公開的，也就是說，這些信息已為人所知，或能公開發(fā)表。敏感信息有可能包括經(jīng)營業(yè)務記錄、產(chǎn)品設計、專利信息、公司電話簿等。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式信息策略定義一個組織內的敏感信息以及如何保護敏感信息。（ 2） 范圍一個安全策略和安全程序應該有一個適用的范圍。組織的安全策略和安全過程規(guī)定了安全程序的目標和對象。（ 3） 安全策略還規(guī)定當非期望的事情發(fā)生時，組織應如何反應。安全策略提供一系列規(guī)則，管理和控制系統(tǒng)如何配置，組織的員工應如何在正常的環(huán)境下行動，而當發(fā)生環(huán)境不正常時，應如何反應。它只涉及很少的技術知識，因而很多有專業(yè)技能的人似乎對其并不太重視，事實上，安全策略對他們也是非常重要的。（ 2） 安全策略不僅確定安全的技術方面，還規(guī)定員工應該執(zhí)行某些和安全相關的責任（例如用戶管理），以及員工在使用計算機系統(tǒng)時所要求的行為。安全策略為一個組織的員工規(guī)定一起工作的框架。在安全策略中，一般包含 3個方面：單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式（ 1） 目的一個安全策略和安全程序應該有一個很好定義的目的，其文本應明確說明為什么要制定該策略和程序，及其對該組織有什么好處。不管誰負有責任，都必須經(jīng)過很好的培訓，明白文本的各項要求。，考慮