安全管理实践（二）：安全策略与安全教育

核心提示：二、 安全策略 安全策略是对访问规则的正式陈述，任何获准访问某个机构的技术和信息资产的人员，安全管理实践（二）：安全策略与安全教育，都必须遵守这些规则，安全策略由高级管理部门制定，安全标准、安全方针不应该是一个文档，使它们组件化有助于分发和必要时候的更新，确保企业的网络系统运行在一种合理的安全状态下，同时

二、 安全策略

安全策略是对访问规则的正式陈述，任何获准访问某个机构的技术和信息资产的人员，都必须遵守这些规则。安全策略由高级管理部门制定，确保企业的网络系统运行在一种合理的安全状态下，同时，也不妨碍企业员工和用户从事他们正常的工作。安全策略对于企业的网络安全建设，起着举足轻重的作用，所有安全建设的后续工作都是围绕安全策略展开的。安全策略的制定是比较繁琐和复杂的工作，根据企业的具体需求，可能会包含不同的内容。

安全策略从宏观的角度反映企业整体的安全思想和观念，作为制定具体策略规划的基础，为所有其他安全策略标明应该遵循的指导方针。具体的策略可以通过安全标准、安全方针、安全措施来实现。安全策略是基础，安全标准、安全方针、安全措施是安全框架，在安全框架中使用必要的安全组件、安全机制等提供全面的安全规划和安全架构。

安全标准是强制性执行的，指出了硬件、软件产品应当如何使用。它提供了一种手段来保证企业中应用程序、特定技术等以规定的方式执行。安全方针指出了当安全标准中未对不可预料的情形定义时的补充规定。安全措施指出了在操作环境中安全策略、安全标准、安全方针的具体一步步实现步骤。安全标准、安全方针不应该是一个文档，使它们组件化有助于分发和必要时候的更新。表3表示了它们之间的关系。

+==============+

|　 安全策略　 |　 安全策略建立战略计划

+======+=======+

|

+------v-------+

|强制的安全标准|

+------+-------+

|

+------v-------+

|建议的安全方针|

+------+-------+

|

+------v-------+

|具体的安全措施|　 安全标准、安全方针、安全措施提供战术支持