【正文】 故發(fā)生時，該組織的行動目標(biāo)。例如，一個安全策略可適用于所有計算機和網(wǎng)絡(luò)系統(tǒng)，一個信息策略可適用于所有員工。 安全策略的類型 信息策略單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式某些信息對所有組織都是敏感信息，包括工資信息、員工家庭住址和電話號碼、醫(yī)療保險信息、任何在公開以前的財務(wù)信息等。這類信息被嚴格限制在一個組織內(nèi)的很有限的員工范圍內(nèi)，不能向組織內(nèi)的全體員工發(fā)布，更不能被組織外的人得到。應(yīng)該記住，系統(tǒng)管理員能看到計算機系統(tǒng)中的所有文本。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式留在紙上的敏感信息必須有相應(yīng)的銷毀方法。通常安全策略應(yīng)規(guī)定用于用戶 ID的標(biāo)準或定義標(biāo)準的系統(tǒng)管理過程。該機制至少應(yīng)能確定什么樣的用戶有讀、寫、執(zhí)行文件的許可。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式對每一種接到組織網(wǎng)絡(luò)的連接形式，安全策略應(yīng)說明連接的規(guī)則以及保護機制。通常防火墻是合適的設(shè)備。安全策略還應(yīng)對允許員工得到這類訪問的授權(quán)建立一個正確的過程。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式計算機用戶策略規(guī)定了誰可以使用計算機系統(tǒng)以及使用計算機系統(tǒng)的規(guī)則。因此在策略中要明確說明。也就是說，使員工了解管理員或安全職員可能監(jiān)視所有和計算機相關(guān)的動作，包括監(jiān)視 Web 站點。電子郵件正越來越多地用于組織的業(yè)務(wù)處理。郵件策略說明在什么條件下是可以接受的，并且在信息策略中指出該類信息應(yīng)如何保護。應(yīng)該由人力資源部門和系統(tǒng)管理員協(xié)同工作。該程序也需人力資源和系統(tǒng)管理部門協(xié)助。 系統(tǒng)管理程序單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式每個組織應(yīng)開發(fā)一個識別計算機系統(tǒng)漏洞的程序?？梢杂米詣拥墓ぞ撸部梢杂檬謩舆M行。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式當(dāng)計算機事故發(fā)生時，事故響應(yīng)程序確定該組織將如何作出反應(yīng)。有些事故可能是由于入侵攻擊或用戶的誤操作，如數(shù)據(jù)文件的丟失。一個組織對事故流的響應(yīng)直接取決于事故響應(yīng)程序的目標(biāo)。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式事故響應(yīng)是很實際的，不能期望第一次使用事故響應(yīng)程序，每一件事都很完美。當(dāng)系統(tǒng)變更時，應(yīng)執(zhí)行配置控制程序。特別是要確定敏感信息和關(guān)鍵信息的要求。實施組應(yīng)使用合適的配置管理程序。作為災(zāi)難恢復(fù)計劃的一部分，應(yīng)該檢查組織的環(huán)境以識別任何單個系統(tǒng)或設(shè)備故障的影響。假如數(shù)據(jù)中心不能用了，但仍有一些設(shè)備完好，災(zāi)難恢復(fù)計劃應(yīng)考慮如何添加新的設(shè)備以及如何重建通信線路。如果是生產(chǎn)產(chǎn)品的工廠，則制造部門是關(guān)鍵，它的優(yōu)先度高于計算機系統(tǒng)。安全人員應(yīng)該識別什么是最重要的安全策略，并與系統(tǒng)管理員、人力資源部門、咨詢辦公室協(xié)作，以確定哪些策略是最重要的。安全專業(yè)人員在為一個組織草擬安全策略以前應(yīng)花一些時間去了解該組織的文化以及員工的期望。在策略文檔完成后，提交管理部門批準和實施。特別重要的是，當(dāng)某些安全策略改變時會影響到全體員工，例如，如需更改口令，必須事先告知全體員工，否則會造成一時混亂。如果不符合，確定是否可采取措施來遵守新的策略。他們之間應(yīng)有某種約定，一種類型的系統(tǒng)應(yīng)考慮相應(yīng)類型的安全策略。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式網(wǎng)絡(luò)安全策略執(zhí)行兩個主要任務(wù)，其一是確定在一個組織內(nèi)實施什么樣的安全；其二是讓組織內(nèi)的員工行動一致，確定組織需要什么樣的安全。Inter使用策略規(guī)定了如何合理地使用 Inter，確定哪些是 Inter的非正當(dāng)使用。 三月 2107:31:1707:31Mar2127Mar211故人江海 別 ，幾度隔山川。 07:31:1707:31:1707:313/27/2023 7:31:17 AM1成功就是日復(fù)一日那一點點小小努力的 積 累。 三月 21三月 21Saturday, March 27, 2023 閱讀 一切好 書 如同和 過 去最杰出的人 談話 。 2023/3/27 7:31:1707:31:1727 March 20231一個人即使已登上 頂 峰，也仍要自 強 不息。 勝 人者有力，自 勝 者 強 。 27 三月 20237:31:17 上午 07:31:17三月 211楚塞三湘接， 荊門 九派通。 三月 217:31 上午 三月 2107:31March 27, 20231行 動 出成果，工作出 財 富。安全策略的有效使用需要將安全策略和系統(tǒng)設(shè)計同步進行，還需要定期審計和審查。系統(tǒng)和網(wǎng)絡(luò)管理員應(yīng)對安全策略的實施負主要責(zé)任。對某些程序，如事故響應(yīng)程序或災(zāi)難恢復(fù)計劃，可能需要更加頻繁的審查。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式很多組織內(nèi)部的審計部門，定期地審計系統(tǒng)看其是否遵守安全策略。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式一個新的系統(tǒng)及項目啟動時，就應(yīng)同時進行安全策略的程序設(shè)計。由于在策略生成時，已征得各部門管理者的意見。一般來講，凡是與實施策略有影響的人都應(yīng)參與策略的制定過程，這樣他們將了解什么是所期望的。而另一個組織卻對員工訪問 Inter有嚴格的限制，甚至限制從某些不可接受的 Web 站點下載軟件。所以一個組織通常指定一些關(guān)鍵員工定期地對災(zāi)難恢復(fù)計劃進行巡視，而且每年進行一次全面的測試。雖然這類事件發(fā)生的概率較小，但對一個組織的危害極大。災(zāi)難恢復(fù)計劃必須和組織的運行部門結(jié)合，使他們知道應(yīng)采取什么步驟恢復(fù)系統(tǒng)運行。事實上，災(zāi)難恢復(fù)計劃并不一定需要這樣的熱備站，可以是很簡單的一些措施。（ 3） 測試當(dāng)項目進入測試階段，應(yīng)同時進行安全測試。 配置管理程序單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式對生成新系統(tǒng)或能力的項目應(yīng)有一個設(shè)計方法，以提供該組織生成新的系統(tǒng)的步驟。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式配置管理程序規(guī)定修改組織的計算機系統(tǒng)狀態(tài)的步驟。通常選擇一個組織的官員來擔(dān)任，他可以是事故響應(yīng)組的成員，也可以是顧問。在得到?jīng)Q定事故的更多信息后，應(yīng)組織一個事故響應(yīng)組，應(yīng)包括以下部門：安全、系統(tǒng)管理、法律、人力資源、公共關(guān)系等。這些目標(biāo)不是惟一的，可以有多個目標(biāo)。如采用手動方式，程序應(yīng)規(guī)定多長間隔檢查登錄文件以及事件類型等。掃描的結(jié)果應(yīng)傳給系統(tǒng)管理來糾錯和執(zhí)行。當(dāng)談及系統(tǒng)管理員監(jiān)控網(wǎng)絡(luò)的能力時，該程序應(yīng)由計算機用戶策略確定，并反映組織期望系統(tǒng)如何管理。這個程序的開發(fā)由人力資源和系統(tǒng)管理部門協(xié)助。該策略應(yīng)指向組織的安全策略關(guān)于相應(yīng)的病毒配置問題。例如，電子郵件策略應(yīng)規(guī)定禁止利用電子郵件進行性騷擾；又如，規(guī)定在電子郵件中不用非正式用語和同伴通信。但 Inter也給員工提供了一個濫用計算機資源的機