2.8 策略、标准、基线、指南和过程

利用安全人员的专业技能,确保正在实施足够的策略和控制,从而能够实现高级管理层指定和确定的目标。 公司安全不能只是纸上谈兵,要落到实到实处。

2.8.1 安全策略

安全策略是高级管理层指定的一个全面声明,它规定安全在组织机构内所扮演的角色。 在组织化安全策略中,管理层规定了应该如何建立安全计划,制定安全计划的目标,分配责任,说明安全的战略和战术价值,并且概述了应该如何执行安全计划。 poc poc 针对系统的策略是管理层的决策,这些决策与实际的计算机、网络和应用程序有关。通过使用措施、标准和指南,可以为策略提供更细粒度的支持。策略提供基础,而措施、标准和指南提供安全架构。 poc

2.8.2 标准

标准指强制性的活动、动作或规则,它可以为策略提供方向上的支持和实施。它们提供了一种方法,从而确保在整个组织机构之间以统一的方式实现特定的技术、应用程序、参数和措施。

标准、指南和措施是战术工具,用于达到和支持安全策略中的指示,而安全策略被视为战略目标。 poc

2.8.3 基准

基准可以指一个用于在将来变更时进行比较的时间点。只要风险得到缓解,而且实现了安全策略,就可以对基准进行正式审核并达成一致意见,之后再进一步通过比较和开发来进行评估。

poc

基准还用于定义所需要的最低保护级别。在安全领域,可以为每种系统都定义具体的基准,它规定要提供的必要的设置和保护级别。

2.8.4 指南

知道原则是在没有应用特定标准时向用户、IT人员、运营人员及其他人员提供的建议性动作和操作指南。

2.8.5 措施

措施是为了达到特定目标而应当执行的详细的、分步骤的任务。这些步骤可以应用于需要完成特定任务的用户、IT人员、运营人员、安全人员及其他人员。

措施说明了如何将策略、标准和指南应用到实际操作环境中。

2.8.6 实施

不仅需要开发安全策略及相关规定,而且还必须加以实现和实施。

results matching ""

    No results matching ""