四步搞定企业安全项目监控和度量文档

核心提示：安全策略相当于企业安全项目的灵魂，只有在企业管理层全力支持安全策略的制定和实施，四步搞定企业安全项目监控和度量文档，且安全策略规定的保护目标明确可行的前提下，安全项目才有可能被成功实施，防止企业系统的未授权操作，为符合培训或服务标准的要求，为了更好地保护企业的信息安全， 我们需要在现有的企业安全策略体系中

安全策略相当于企业安全项目的灵魂，只有在企业管理层全力支持安全策略的制定和实施，且安全策略规定的保护目标明确可行的前提下，安全项目才有可能被成功实施。

为了更好地保护企业的信息安全， 我们需要在现有的企业安全策略体系中，增加如何对安全项目实施监控和效能度量的书面文档，并制定相应的安全项目度量标准。这可以分四步来完成。

第一步 定义监控

在安全策略中定义如何对安全项目进行监控，是对监控行为进行授权，使其能够保持安全项目的良好运行的先决条件。

我们经常可以看到一些企业的安全手册上规定“没有经过授权的移动设备不能连接到公司的内部网络”，却没有规定到底由谁来负责检查，以及如何对违反该条令的人员进行处罚;或者规定“公司的每个网络设备的流量都应受到监控”，却没有规定什么类型的网络流量应该受到监控。这显然是毫无用处的，但是类似的条令却充斥在许多企业的安全手册里。

因此，我们首先要在安全策略里对监控进行合理定义，内容包括：1)安全项目中什么指标需要进行监控;2)谁来执行该项监控。

在许多场合，尤其在出现严重违反安全策略事件的情况下，负责监控安全项目指标的人员常常需要直接向管理层汇报事件的发展情况.。这时，监控人员需要按照一定格式给管理层提交监控报告。为了方便管理监控报告，我们在制定安全策略的监控标准时，应该规定例行的安全项目监控报告的书写格式。

监控报告应该包括以下一些元素：执行安全监控的日期;监控行为的执行人;执行监控行为的地点，如企业的某个部门、设施或办公室;安全监控的主题;涉及的人员名字;监控结果和风险区域。

出于对隐私保护法律的遵守和对企业员工隐私的尊重，我们在制定监控策略时，还应该在安全策略中事先向企业员工声明什么样的行为会被监控和记录，以及实施监控的原因。被监控的原因主要有：保证业务处理或业务交易有据可查，为达到法律法规的要求，防止企业系统的未授权操作，为符合培训或服务标准的要求，防止犯罪行为等。