■ 赵云

构建和管理安全计划是大多数企业成长所需的并为之奋斗的目标。笔者曾与那些对员工如何使用资产或网络尚未制定安全计划的创业公司合作过，还曾在成熟的企业工作过，其IT和网络安全的各个方面都得到了很好的管理。安全计划的目标是找到一个平衡，公司可以负责任地管理其选择部署的技术所带来的风险。

在建立安全计划的起初阶段，公司通常会首先指定一名员工负责网络安全。该员工将开始制定计划，通过安全技术、可审计的工作流程以及可记录的规则和程序来管理公司的风险。

成熟的安全计划需要以下规则和程序：

1.可接受使用规则（AUP）

AUP规定了使用企业IT资产的员工必须经过同意才能访问公司网络或互联网。这是新员工的标准入职规定。在被授予网络ID之前，AUP 需要予以读取和签名，建议企业IT、安全、法律和人力资源部门讨论本规定中包含的内容。

2.访问控制策略（ACP）

ACP概述了员工对企业数据和信息系统的访问权限。通常包含在策略中的一些主题是访问控制标准，例如NIST的访问控制和实施指南。本策略中涉及的其他项目包括用户访问标准、网络访问控制、操作系统软件控制以及公司密码的复杂性。通常包括的其他补充项目包括监测公司系统如何被访问和使用的方法；如何保护无人值守的工作站；以及当员工离岗或离职时如何删除访问权 限。The International Association of Privacy Professionals（IAPP）提供了此策略的一个很好例子。

3.变更管理策略

变更管理策略是指对IT、软件开发和安全服务/操作进行更改的正式程序。变更管理策略的目标是提高对整个企业的建议变更的认识和理解，并确保所有变更都是有条不紊地进行的，以尽量减少对服务和客户的任何不利影响。

4.信息安全策略

企业组织的信息安全策略通常是可以涵盖大量安全控制的高级策略。企业发布主要信息安全策略，是确保在企业范围内或其网络中使用信息技术资产的所有员工都遵守其规定的规则和准则。有些组织要求员工签署此文件以确认其已经阅读过（通常在签署AUP策略时完成）。此策略旨在让员工认识到，有些规则要求他们对企业信息和IT资产的敏感性负责。

5.事件响应（IR）策略

事件响应策略是一种有组织的方法，用于说明企业如何管理事件并修复对自身运营的影响。实话讲，这是CISO希望永远不会使用的一项策略，但是该策略的目标是描述处理事件的过程，以限制对业务运营、客户的损害并减少恢复时间和成本。

6.远程访问策略

远程访问策略是描述和规定如何合规的远程连接到组织内部网络的文档。该策略还包括附录，其中包含使用BYOD资产的规则。该策略是企业的分散网络能够扩展到不安全网络位置的必要条件，例如本地咖啡馆或非托管家庭网络等。

7.电子邮件/通信策略

企业的电子邮件策略是用于正式规定员工如何使用业务需要的电子通信媒体的文档。该政策涵盖了电子邮件、博客、社交媒体和聊天技术等。该策略的主要目标是向员工提供使用以上通信技术的指南，以告诉员工什么样的企业通信技术被认为是合规或违规的。

8.灾难恢复策略

企业的灾难恢复策略通常包括网络安全和IT团队的意见，并作为更广泛的业务连续性计划的一部分来进行制定。CISO和团队将通过事件响应策略来管理事件， 如果某事件对业务产生重大影响，将激活业务连续性计划。

9.业务连续性计划（BCP）

BCP将协调整个企业的工作，并将使用灾难恢复策略来恢复对业务连续性至关重要的硬件、应用程序和数据。BCP对每个企业都是独一无二的，因为它们描述了企业在紧急情况下的运作方式。

上述策略和文件只是用于构建成功的安全策略的一些基本准则。随着企业的不断成熟和安全策略的不断扩展，CISO将会有更多的发展。

在此向企业首次制定安全策略的人推荐SANS信息安全策略模板网站，其中有许多可供下载的策略。

时刻记得，管理者要与员工一起宣传企业的新政策和指导方针。让员工真正的了解IT和网络安全相关规定是至关重要的。