政策管理和管理软件信息分类

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

5．2．5 政策管理
    由于政策不断发生变化，必须管理和培育。不能建立一组重要的文件，然后将它们搁置在一旁，必须正确地宣传(分发、阅读、理解及达成共识)和管理这些文件。如何管理它们直接关系到前面的特定问题政策的政策管理部分。对政策的开发及维护进行良好的管理，有助于使公司更富有活力。例如，在公司合并、被剥夺财产权利时，所有的政策，包括安全政策，都要经受极大的压力。这些情况会带来翻天覆地的变化，使员工觉得不稳定，不能专心致志地完成工作。这些变化还会暴露公司的缺陷，例如，在新合并公司的不同部门实行不一致的安全政策。当两个公司合并，但是各自为政时，实施安全控制来减小风险的难度会增加。同样，一个拥有统一政策的公司分成两个公司时，每个新公司又需要不同的政策。
    要使安全政策仍旧可行，必须具备负责检查的人员、检查计划、为检查提供建议的方法，和特定政策的颁布和修改日期。每一条件将在下面具体讨论。
    1。负责检查的人员
    信息系统和信息安全项目必须有维护管理人员，政策也应该这样。这个维护管理人员称为政策管理员。政策管理员一般是一个中层职员，负责的制定、修改、发布和保存政策。注意，政策管理员不一定是技术人员。信息安全专业人员需要许多技术知识，而在政策管理这个领域只需要有一定的技术背景。但在这些人员在修订安全政策时，较好积极征求每个利益团体中技术熟练的信息安全专家和精通业务的管理员的意见。同时，在修改政策时，政策管理员还应通知机构中所有受影响的成员。
    一项需要数百工时才能制定下来的政策在较后被忽略掉，是非常令人沮丧的。所以必须有人负责确保将这项政策及后续的修改传达到执行政策的人员手中。政策管理员必须把政策文件视为政策的附加信息或修改建议的出发点。
    2．检查计划
    如果定期检查政策的当前执行状况和准确性，并通过修改来响应变化，该政策就能适应变化的环境。没有及时更新政策是机构的责任，因为这样就会执行过时的规则，而忽视新的需求。机构为证明它履行了义务，必须证明它在满足市场需求方面进行了积极的尝试。这一点对公共(政府、院校以及非盈利)机构和私人(商业盈利)机构都适用。合理的检查计划应作为政策文件的一部来制定和发布。一般，政策至少应每年检查一次，以确保它始终有效。
    3．检查规程和实践
    要想促进政策的检查，政策管理员应该制定一种机制，便于人们对政策提出修改建议。建议的方式可以是电子邮件、办公邮件以及匿名举报箱。如果对政策有争议，政策管理员会觉得匿名提建议是确定职员意见的较好方式。许多员工处于被管理的地位，不敢对政策说出自己的意见，除非他们能够以匿名的形式来提意见。在检查政策时，也应检查所有的意见，并实行能改进管理的措施。其他检查方法包括在修改过程中有用户代表，允许对政策的修改直接提出意见。事实上，大多数政策都是一个负责人员起草，再由一个高层管理人员检查。这种方法不应妨碍员工意见的收集和检查。
    4。政策的颁布和修改日期
    指定执行政策的期限通常被遗漏。如果起草和发布政策时没有指定期限，执行政策的用户会弄不清政策的执行时间或状况。如果不检查和更新政策，或者机构的成员执行过期的政策，会产生灾难性的结果，或引起法律方面的争端。这些问题在快速变化的环境中是特别常见的。因此，政策包含制定日期和修改日期是非常重要的。一些政策还需要有效期这一项，指明政策的过期日期。这对于在短期的业务合作中或机构代理处使用政策管理信息，是尤为重要的。指定政策的终止日期，机构就可以获得该政策的一些经验，然后决定是否把它用作一项长期政策，并能避免错误。
    5。自动化政策管理
    本节较后一个主题是，近几年出现了一种管理信息安全政策的新协同软件。此类软件是为满足信息安全从业者的需求而开发的。目前已经有许多满足特定技术控制的软件产品，但该软件能自动完成一些政策管理的任务。自动化能够简化一些重复步骤，如制定政策、跟踪批准政策的工作流程、发布制定并获得批准的政策，跟踪人员阅读政策的时间。使用基于计算机的培训和测试技术，机构能够对职员进行培训，提高机构的意识。引用PentaSafe公司的行销著作中的一段话：
    “管理软件能够对安全政策的制定、发布、指导进行控制，并跟踪遵守情况。”
    “现在ⅥgilEnt政策中心可以动态管理安全政策，您可以对政策进行制定、发布、指导，跟踪机构中所有员工理解信息安全政策的情况。它可以使政策保持较新，在需要时进行及时的改变，确保员工正确地理解它们，这一种新型自动化的、交互式的、基于Web的软件应用程序。”
5．2．6信息的分类
    如本书前面所述，信息的分类是政策的一个重要方面，一般而言，也是信息保护的一种控制。换句话说，也是对政策进行分类。人们建立的保护方案，来防止产品数据意外地泄露给错误的一方，这种保护方案也应该用于政策，以确保它们可以免费获得，但是这仅仅局限在机构内部。许多公司政策至少归类为“仅限内部使用。”．同样，它们不应该随便丢弃，被机构外部未授权的用户得到。随着肩窥和垃圾收集事件的增加，机构应该更多地保护对敏感政策资料的访问。例如，入侵者确定，一份未保护的政策文件副本在半夜制作其磁带备份，然后被管理员带到了家中，那么这个入侵者即使不进入这个机构，或者不直接访问这个机构的供应链管理系统，也能获得有价值的数据。
    与文件分类和保护政策需求相关的是清洁桌面政策。考虑下面的情形：机构正确实施了一个数据分类方案，一名普通的管理员在一天里可能处理许多不同类型的信息。如果在结束这天的工作时，他忘了保护这些信息，这些信息就可能被有意或无意泄露给仍在大楼内的人。在目前开放的办公环境中，大多数员工都在隔间里工作，他们的工作空间并没有门，所以实施清洁桌面政策是非常有益的。清洁桌面政策规定在每天工作结束时，必须对所有分类信息进行正确地存储和保护。保护设施包括文件柜、抽屉或者其他受控制的访问区域。
一旦机构制定了其新型安全政策和标准，信息安全团体就应开始为信息安全计划设计蓝本。注意，在蓝本开始制定之前或者制定期间，如果遗失了政策、标准或实践的一个或多个组成部分，管理人员必须确定机构是否可以接受这种失职行为。