【正文】 策略應說明連接的規(guī)則以及保護機制。 安全策略還應對允許員工得到這類訪問的授權建立一個正確的過程。因此在策略中要明確說明。電子郵件正越來越多地用于組織的業(yè)務處理。應該由人力資源部門和系統(tǒng)管理員協(xié)同工作。 系統(tǒng)管理程序 每個組織應開發(fā)一個識別計算機系統(tǒng)漏洞的程序。 當計算機事故發(fā)生時，事故響應程序確定該組織將如何作出反應。 一個組織對事故流的響應直接取決于事故響應程序的目標。 當系統(tǒng)變更時，應執(zhí)行配置控制程序。實施組應使用合適的配置管理程序。 假如數(shù)據(jù)中心不能用了，但仍有一些設備完好，災難恢復計劃應考慮如何添加新的設備以及如何重建通信線路。 安全人員應該識別什么是最重要的安全策略，并與系統(tǒng)管理員、人力資源部門、咨詢辦公室協(xié)作，以確定哪些策略是最重要的。 在策略文檔完成后，提交管理部門批準和實施。如果不符合，確定是否可采取措施來遵守新的策略。 網(wǎng)絡安全策略執(zhí)行兩個主要任務，其一是確定在一個組織內實施什么樣的安全；其二是讓組織內的員工行動一致，確定組織需要什么樣的安全。安全策略的有效使用需要將安全策略和系統(tǒng)設計同步進行，還需要定期審計和審查。對某些程序，如事故響應程序或災難恢復計劃，可能需要更加頻繁的審查。 一個新的系統(tǒng)及項目啟動時，就應同時進行安全策略的程序設計。 一般來講，凡是與實施策略有影響的人都應參與策略的制定過程，這樣他們將了解什么是所期望的。所以一個組織通常指定一些關鍵員工定期地對災難恢復計劃進行巡視，而且每年進行一次全面的測試。災難恢復計劃必須和組織的運行部門結合，使他們知道應采取什么步驟恢復系統(tǒng)運行。 （ 3） 測試 當項目進入測試階段，應同時進行安全測試。 配置管理程序規(guī)定修改組織的計算機系統(tǒng)狀態(tài)的步驟。 在得到?jīng)Q定事故的更多信息后，應組織一個事故響應組，應包括以下部門：安全、系統(tǒng)管理、法律、人力資源、公共關系等。如采用手動方式，程序應規(guī)定多長間隔檢查登錄文件以及事件類型等。當談及系統(tǒng)管理員監(jiān)控網(wǎng)絡的能力時，該程序應由計算機用戶策略確定，并反映組織期望系統(tǒng)如何管理。該策略應指向組織的安全策略關于相應的病毒配置問題。但 Inter也給員工提供了一個濫用計算機資源的機會。 計算機用戶策略 策略應規(guī)定所有存儲并用于組織內的計算機的信息屬于組織所有。 對內部系統(tǒng)的遠程訪問是組織允許員工在外出時從外部訪問內部系統(tǒng)。通常安全策略需對下列事件進行審計：成功或失敗的登錄、退出系統(tǒng)、對文件或系統(tǒng)的訪問失敗、成功或失敗的遠程訪問、特權操作（由管理員操作，成功或失敗）、系統(tǒng)事件（關機或重啟）。這個配置也會影響用戶。 安全策略對存儲在紙上或計算機系統(tǒng)中的敏感信息都應有相應的規(guī)定。策略覆蓋該組織內的全部敏感信息。安全策略執(zhí)行兩個主要任務。安全策略的類型一個組織內的安全策略和安全程序有很多種，本節(jié)將概述常用的、有效的安全策略和安全程序。這類信息對本組織員工是公開的，對某些組織外的人員需簽不擴散協(xié)議才能得到。 對通過電子郵件傳送的敏感信息，安全策略應規(guī)定對用附件方式的文件或報文頭進行加密。更強的機制對諸如 VPN或撥號訪問這些遠程訪問也是適用的。對一個組織來說，應嚴格控制允許多少個撥號訪問點，因此應公平地限制身份鑒別的要求。 安全策略應確定使用在組織內的可接受的加密算法，在信息策略中指出保護敏感信息的相應算法。策略應規(guī)定誰可以裝載授權軟件以及怎樣成為合法軟件。 如果組織要對電子郵件的某些關鍵字或附件進行監(jiān)控，則策略應說明這類監(jiān)控可能發(fā)生。員工原來的管理和新管理者應確定換到新崗位上的員工已經(jīng)不需要原來的訪問或者需要新的訪問。 組織的安全策略確定每個系統(tǒng)的安全要求。關鍵是要在事故發(fā)生前確定組織的目標。負責人在事故響應程序開發(fā)時就要作出決定，而不是事故發(fā)生時決定。在設計之初就要考慮和安全有關的問題，使最后完成的系統(tǒng)能和安全問題相一致。只有當很多甚至全部計算機系統(tǒng)不可用，要決定該組織如何繼續(xù)運行時，才會比較復雜。對每類事件，組織的每個部門都應參與。 這兩個組織的策略完全不同。這些管理者的介入大大有助于安全策略在各個部門的貫徹。安全部門應及時將新的安全策略通知給審計部門，并配合他們工作，使他們在審計時了解這些變更。安全策略應包括用戶身份及身份鑒別、訪問控制、審計、網(wǎng)絡連接、惡意碼防止、加密等。包括計算機所有權、信息所有權、計算機使用許可以及沒有隱私的要求。安全部門應向審計部門解釋安全策略如何開發(fā)以及期望達到什么樣的目標；審計部門應向安全部門解釋審計如何進行以及審計的目標。 安全策略的部署 因為安全策略對組織的全體員工都有影響，所以安全專業(yè)人員必須負責對員工進行安全教育，人力資源部門和培訓部門要協(xié)助進行。對安全專業(yè)人員來說應該知道不是所有策略對所有組織都是適用的。如果是一個電子商務站點，則最關鍵的系統(tǒng)可能是計算機系統(tǒng)和網(wǎng)絡。 災難恢復計劃 單個系統(tǒng)或設備故障包括盤、主板、網(wǎng)絡接口卡、元件的故障。設計方法應指出組織的安全策略和信息策略的要求。有兩個好處，其一是有助于事故過后了解所發(fā)生的事件全過程；其二是如果要起訴，則有助于法