如何拟订信息安全政策？

　　编者按：在网络时代，企业高层开始意识到信息安全策略的重要性。突然间，IT专业人员发现自己面临着挑战：设计信息安全政策该从何处着手？如何拟订具有约束力的安全政策？如何让公司员工真正接受安全策略并在日常工作中执行？本文阐述了处理这项困难任务的准则。

　　 准备工作　　

　　 拟订信息安全（IS）政策之前要先与公司的总经理有一个良好的沟通。总经理可能多少了解一些网络“开放性”的威胁，但也许未意识到万一公司网络遭破坏，会造成多少损失。我们要抽出一些时间向高层领导讲述IS的重要性。然后，我们要了解企业远景、经营目标及IT如何适合企业规划，还要分析以下问题。

　　 ●公司有哪些信息资产？包括软件、硬件、网络以及在IT或IS上的未来投资。

　　 ●公司依赖IT的程度如何？应从能衡量的方面考虑，如经济效益、改进客户服务、改善形象及提高市场份额。

　　 ●由于信息丢失、泄漏或曲解，公司将蒙受多大损失？

　　 上述分析应该非常客观。如果可能，应该用数字表示IT所起的作用以及带来的效益，以后用得着这些数字。众所周知，拟订IS政策只是一个方面，最终目的在于实施，为此我们要投入大量精力、时间和资金。

　　 一旦收集了这些数据，就很容易拟订安全政策。首先，应该起草确定信息安全实际需求的安全政策说明。这些“说明”应该强烈体现以下观念：如果不保护信息安全，公司就会遭殃。它应该得到最高领导的承诺：尽力支持为达到IS目标而实施的措施。从长远看，它应该成为“上头的命令”，并变成一份公开文档，传达给员工、顾客及业务伙伴，并且应受到与企业质量管理政策同样的重视。　　

　　 风险评估　

　　 下一步就是风险评估。一旦清楚了企业对IT的期望，我们应该知道在实现这些期望的道路上可能会遇到什么障碍？如商业风险、物理风险、环境风险、技术风险和人为风险等。我们要非常重视评估工作，但也要实际。人们往往会对假设的风险发假警报；另外，又会乐观地以为自己不会遇到这种风险，以至对重大风险也置之不理。这需要平衡的方案。应该把公司可能会遇到的各种风险记入文档，可参考相同行业的公司、同一地区的公司或采用同一技术的公司会遇到的风险，帮助自己确认哪些潜在风险可能会影响信息系统，从而影响公司业务。

　　 如果可能，风险评估应该用数字表示，因为数字比文字更有说服力。我们应该能预测公司因未实施IS政策而遭受的实际损失。当然，不能用数字来表示的无形的质量损失也会给企业构成危胁，这一点应该记入文档。

　　 如果估算了风险，并确定了这些风险的概率和后果，概率和后果的乘积就是风险的优先级。比如，网站遭到黑客攻击的概率很高，这类事件造成的后果又很严重，那就是“双高”风险。

　　 具体说明：某网站遭到黑客攻击的概率为每年0.5次，即两年遭到一次攻击，而每次事件给企业造成的损失为100万美元，那么概率和后果的乘积就是每年估计损失50万美元（0.5×100）。

　　 所以风险评估工作的最终结果就是为所有风险列出相应的优先级。　　

　　 风险减缓　　

　　 安全政策不是一句话，而是一项总体规划。它明确了公司的安全问题，是迈向构建安全基础设施的第一步。

　　 单靠一道防线是根本无法获得安全的，我们需要多道防线来保护资产。就已估算的各种安全风险而言，我们应确定降低风险的措施。风险减缓措施可能包括管理措施、物理措施或技术措施。

　　 管理措施：包括政策、程序、标准和准则以及人员检查和安全意识培训。

　　 物理措施：包括边界控制措施、物理访问控制、入侵检测、消防及环境监控。

　　 技术措施：包括逻辑访问控制、网络访问控制、识别及验证、数据加密。

　　 拟订、编制、实施及监控安全政策需要大量的管理。事实上，安全75%是管理，只有25%是技术。管理任务很枯燥，但必不可少。政策就是预防性管制。

　　 一分预防胜过十分检测及纠正。　　

　　 剖析政策文档　　

　　 其实，政策的目的在于传达关于信息安全的风险以及公司采取了哪些预防措施。员工要知道并且遵守安全政策。政策内容应该简明扼要、切合实际，但涵盖所有方面。

　　 建议安全政策文档概括下列内容：

　　 ●政策说明：概述政策的目的，强调政策处理的实际风险，尽量贴近公司的业务，以便员工相信政策的必要性。

　　 ●政策范围:明确政策要处理的问题的范围。这要列出政策涵盖的组织单位、个人及技术系统。

　　 ●有效性：确定政策的有效期以及下次何时审查。为了确保政策内容最新，至少每年审查一次。

　　 ●拟订者:政策的拟订者应该是权威的IS人员，这将确保责任到人。在起草技术性政策时，这尤为重要。

　　 ●审查细节：记录上一次审查及变更情况。

　　 ●符合性要求：如果有人未遵守政策，就应该采取惩罚措施。这当然需要人力资源部的许可，未得到许可会使政策成为“最被忽视的策略”，而不是“最佳策略”。

　　 ●政策细节：在上述序文之后，是政策的实际内容。

　　 ●政策处理的特定问题：提供背景、描述被确认的风险、声明政策要达到的安全预期目标。

　　 ●最佳策略：详细列出推荐的最佳策略。

　　 ●强制性策略：这是必须执行的最低标准。

　　 ●实施程序：实施政策要遵守的详细程序。应该有表格、模板、标准、准则等方面的参照内容，可做成一个附录。

　　 ●确保合理实施的监控及报告机制。

　　 ●如何监控是否符合政策:如何报告违规行为以及采取哪些措施。

　　 ●附录：表格、模板标准及技术准则。

　　 ●必要政策：列出遵循各种适当管制的必要政策。 　　

　　 安全政策范例　　

　　 以下以电子邮件安全政策为例加以说明。政策细节部分应包括下列内容。　　

　　 1．信息机密性

　　 电子邮件不准用于交换机密信息；

　　 发送者对信息内容完全负责；

　　 不准通过电子邮件传送口令、PIN和信用卡资料等敏感信息。　　

　　 2．合理使用

　　 电子邮件只限于办公场合使用；

　　 不准发送下流或污辱的消息；

　　 电子邮件不准用来发送垃圾邮件；

　　 电子邮件不准用来发送连锁信、贺卡和图片等；

　　 电子邮件不准自动转发到公司外面的地址；

　　 电子邮件的大小限制在许可范围内。　　

　　 3．管理权限

　　 管理部门应利用监控电子邮件的权利；

　　 管理部门应保存电子邮件，以便以后查阅作为法律证据；

　　 对电子邮件附件进行的加密应获得公司许可，应保管密钥以便必要时备查。　　

　　 4．不承担责任的声明

　　 因为电子邮件是一种不安全的通信机制，查阅、拷贝或更改电子邮件轻而易举，所以应发布类似如下的不承担责任的声明。公司至少能保护自己，无须承担各种滥用行为带来的后果。

　　 “该邮件含有机密信息，只发给收件人。未经授权，不得查阅该邮件。任何拷贝或发给原始收件人以外的人都是不允许的，可能是非法的。本邮件发表的观点仅代表发送者，不一定代表本公司。”　　

　　 实施安全政策　　

　　 拟订及分发安全政策文档其实只是第一步，培训用户及实施政策才是更重要的任务。为此要有传教士般的热情。要做到以下几个方面。

　　 ●举行加强安全意识的研讨会、讲习班及测验；

　　 ●组织安全周；

　　 ●起草安全政策的守则，然后张贴公布；

　　 ●制作海报、标签、T恤衫、杯子、鼠标垫时都要附上安全消息；

　　 ●举行标语及口号比赛;

　　 ●广泛注意其他公司出现的各种安全漏洞。

　　 当然，还要进行安全审查。