組織在實施網(wǎng)絡(luò)安全管理的過程中,制定網(wǎng)絡(luò)安全方針政策是非常關(guān)鍵的工作,網(wǎng)絡(luò)安全方針是網(wǎng)絡(luò)安全管理工作的綱領(lǐng),用于指明網(wǎng)絡(luò)安全工作的方向,指導(dǎo)網(wǎng)絡(luò)安全管理的基本工作原則,制定網(wǎng)絡(luò)安全管理方針政策,首先要確定方針政策的發(fā)布者,發(fā)布者在組織結(jié)構(gòu)中的位置在相當程度上決定了網(wǎng)絡(luò)安全管理方針的權(quán)威性,類同法律體系中的法律、法規(guī)的頒布機構(gòu),在信息科技已經(jīng)融入組織核心生產(chǎn)的今天,網(wǎng)絡(luò)安全管理方針政策由組織最高管理者(管理層)發(fā)布為最佳。網(wǎng)絡(luò)安全管理方針政策的首要任務(wù)是設(shè)置網(wǎng)絡(luò)安全的目標,目標的設(shè)定應(yīng)簡單明確,例如:“保護企業(yè)信息的機密性、完整性與可用性”,良好的做法還包括為網(wǎng)絡(luò)安全政策設(shè)置一個簡短、朗朗上口的宣貫口號,例如:“網(wǎng)絡(luò)安全、企業(yè)未來,管技結(jié)合、內(nèi)外并重,預(yù)防為上、防范為輔,全員有責、高層表率”。
由于網(wǎng)絡(luò)安全管理的方針政策的統(tǒng)領(lǐng)特性以及由組織高層管理者頒布的因素,該方針政策需要一個良好的策略來作為編制原則,例如:
簡練:網(wǎng)絡(luò)安全管理方針政策是組織的正式文件,因此應(yīng)以書面語言編制為根本,采用短句以便于閱讀,避免使用修飾性詞語引入度量性上的缺陷。
清晰:網(wǎng)絡(luò)安全管理方針政策應(yīng)盡量避免發(fā)生理解上的歧義,由于中文是二義性較高的語言,因此組織語言使方針政策的各條款具有高度的清晰性是個非常具有挑戰(zhàn)的工作。例如:“信息訪問權(quán)限應(yīng)當依據(jù)工作職責需要進行設(shè)置”vs“應(yīng)當禁止全部不必要的權(quán)限訪問”,前者在編制流程、實際操作中更具備可行性。
完備:網(wǎng)絡(luò)安全管理方針政策包含的內(nèi)容需要指導(dǎo)流程文件、作業(yè)指導(dǎo)書、記錄模板等文件的編寫,為了使后續(xù)工作能夠在方針政策中找到指導(dǎo),因此方針政策的編寫應(yīng)當完備,良好的做法包括參考被廣泛接受的國際標準、最佳實踐,例如:ISO27000系列標準作為參考,對方針政策的完備性進行檢查。
對安全管理活動中的各類管理內(nèi)容建立安全管理制度,對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程,形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系,從而指導(dǎo)并有效地規(guī)范各級部門的信息安全管理工作。