IT 安全策略列出了有關(guān)如何使用組織的 IT 資源的規(guī)則。該策略應(yīng)定義可接受和不可接受的行為、訪問控制以及違反規(guī)則的潛在后果。IT 安全策略應(yīng)基于組織的業(yè)務(wù)目標(biāo)、信息安全策略和風(fēng)險(xiǎn)管理策略。通過概述訪問控制和可接受的使用，IT 安全策略定義了企業(yè)數(shù)字攻擊面和可接受的風(fēng)險(xiǎn)級(jí)別。IT 安全策略還通過定義如何監(jiān)控用戶以及在違反策略時(shí)可能采取的措施，為事件響應(yīng)奠定了基礎(chǔ)。

IT 安全策略的目標(biāo)

目標(biāo)是明確規(guī)定使用公司資產(chǎn)的規(guī)則和程序。這包括針對(duì)最終用戶以及 IT 和安全人員的信息。IT 安全策略應(yīng)旨在識(shí)別和解決組織的 IT 安全風(fēng)險(xiǎn)。他們通過解決 IT 安全的三個(gè)核心目標(biāo)（也稱為 CIA 三元組）來做到這一點(diǎn)：

• 機(jī)密性：保護(hù)敏感數(shù)據(jù)不暴露給未經(jīng)授權(quán)的各方。
• 完整性：確保數(shù)據(jù)在存儲(chǔ)或傳輸過程中未被修改。
• 可用性：為合法用戶提供對(duì)數(shù)據(jù)和系統(tǒng)的持續(xù)訪問。

這三個(gè)目標(biāo)可以通過多種不同的方式實(shí)現(xiàn)。一個(gè)組織可能有多個(gè) IT 安全策略，針對(duì)不同的受眾并解決各種風(fēng)險(xiǎn)和設(shè)備。

IT 安全策略的重要性

IT 安全是組織 IT 安全規(guī)則和策略的書面記錄。由于幾個(gè)不同的原因，這可能很重要，包括：

• 最終用戶行為：用戶需要知道他們?cè)诠?IT 系統(tǒng)上能做什么和不能做什么。IT 安全政策將制定可接受使用的規(guī)則以及對(duì)違規(guī)行為的處罰。
• 風(fēng)險(xiǎn)管理：IT 安全策略定義了如何訪問和使用企業(yè) IT 資產(chǎn)。這定義了公司的攻擊面和公司面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)量。
• 業(yè)務(wù)連續(xù)性：網(wǎng)絡(luò)攻擊或其他業(yè)務(wù)中斷事件會(huì)抑制生產(chǎn)力并花費(fèi)組織資金。IT 安全策略有助于降低這些事件的可能性，并在它們發(fā)生時(shí)有效地解決它們。
• 事件響應(yīng)：在發(fā)生數(shù)據(jù)泄露或其他安全事件時(shí)，正確和快速的響應(yīng)至關(guān)重要。IT 安全策略定義了事件發(fā)生時(shí)應(yīng)采取的措施。
• 法規(guī)遵從性：許多法規(guī)（例如 GDPR 和 ISO）要求組織制定并記錄安全政策和程序。創(chuàng)建這些策略對(duì)于實(shí)現(xiàn)和維護(hù)法規(guī)遵從性是必要的。

IT 安全策略關(guān)鍵信息

組織的 IT 安全策略應(yīng)設(shè)計(jì)為適合業(yè)務(wù)需求。它們可以是一個(gè)單一的綜合政策，也可以是一組解決不同問題的文件。盡管如此，所有組織的 IT 安全策略都應(yīng)包含某些關(guān)鍵信息。無論是作為獨(dú)立文檔還是較大文檔中的部分，公司 IT 安全策略都應(yīng)包括以下內(nèi)容：

• 可接受的用途：如何允許最終用戶使用 IT 系統(tǒng)
• 變更管理：部署、更新和淘汰 IT 資產(chǎn)的流程
• 數(shù)據(jù)保留：數(shù)據(jù)可以存儲(chǔ)多長(zhǎng)時(shí)間以及如何正確處理它
• 事件響應(yīng)：管理潛在安全事件的流程
• 網(wǎng)絡(luò)安全：保護(hù)企業(yè)網(wǎng)絡(luò)的策略
• 密碼：創(chuàng)建和管理用戶密碼的規(guī)則
• 安全意識(shí)：培訓(xùn)員工了解網(wǎng)絡(luò)威脅的政策

除了這些核心策略之外，IT 安全策略還可以包括針對(duì)組織特定需求的部分。例如，公司可能需要自帶設(shè)備 (BYOD) 或遠(yuǎn)程工作策略。

如何編寫 IT 安全策略

在編寫 IT 安全策略時(shí)，一個(gè)好的起點(diǎn)是建立最佳實(shí)踐。像 SANS 研究所這樣的組織已經(jīng)發(fā)布了 IT 安全策略的模板。然后可以編輯這些模板以滿足組織的獨(dú)特需求。例如，公司可能需要添加部分來解決獨(dú)特的用例或定制語言以適應(yīng)企業(yè)文化。
IT 安全策略應(yīng)該是一個(gè)動(dòng)態(tài)文檔。應(yīng)定期對(duì)其進(jìn)行審查和更新，以滿足不斷變化的業(yè)務(wù)需求。