计世独家：谨防安全策略五大基本错误

申请免费试用、咨询电话：400-8352-114

【计世独家】企业在编写及实施安全策略时，通常会犯以下五个基本错误。

安全策略旨在提供三大作用：一是保护数据、客户、员工和技术系统；二是定义公司在安全方面的立场；三是尽量减小公司内外的风险，并且万一出现泄密后，尽量减小给公众留下的不利影响。制订及发布安全策略不仅仅是个好主意，美国的有关法律还规定公司必须这么做，这些法规包括支付卡行业数据安全标准（PCI）、《健康保险可携性及责任性法案》（HIPAA）以及《联邦信息安全管理法案》（FISMA）等。

但企业在编写及实施安全策略时，通常会犯以下五个基本错误。尽管其中一些错误听上去很可笑，但它们还是会频频发生，这会给许多企业带来重大影响。

错误一

没有制订安全策略

这是一个最大的基本错误。实际情况是，很多企业根本没有任何安全策略，有的只是制订了“含蓄策略”——所谓的“含蓄策略”指虽然经过管理班子的正式讨论，但是没有正式成文，也没有发布给任何人。

这种粗心大意的做法不但留下了安全弱点，企业还有可能违反了法律要求，因为有些法规明确要求公司合理编写及发布安全策略。

当然，一旦策略正式制订完毕，企业常常会发现自己的系统在很多地方都违反了策略。这没有什么好奇怪的，这表明安全策略并不是完全围绕当前的IT运营标准来制订的。这就意味着，除了安全策略外，公司还必须把当前系统存在的缺陷记入文档，并且评估改正这些缺陷以便让系统符合新策略要求所需的成本。

错误二

没有更新安全策略

假设你没有犯前面第一个错误，就要留意这个关键的第二点了：单单拥有精心编写的安全策略还不足以改善安全状况。

公司网络和业务流程将来会出现一些变动，这是不可避免的。安全风险和法规遵从要求也会发生变化。所以，随着安全威胁和企业环境不断变化，安全策略也要随之变化。

更新安全策略的理由有：部署了新技术（或者处置过期的软件或硬件）；出现新的法规要求或者法规要求内容有所更新；公司不断发展；企业合并或重组给系统带来了新的数据和用户；出现了新的业务系列或者商业惯例……实际上，只要公司安全策略保护的各环节出现了任何变化，都要更新安全策略。

如果出现诸如此类的变化后，公司却没有定期评估及更新安全策略，它们的威胁状况就有可能出现门户大开的情况，成了安全方面容易遭到攻击的对象；就算拥有“全新”的安全策略文档，也是如此。

错误三

没有跟踪执行情况

如果你已经落实了安全策略，并且定期更新了策略，这表明你已往理想的安全策略迈出了重要的两步。但你还是会犯其他错误！

如果公司没有跟踪安全策略是否得到了执行，甚至没有跟踪员工是不是意识到策略规定的条文，那么安全策略实际上是没有用的，有时甚至从法律上来说是没有用的。首先，为了能执行安全策略，企业必须确保安全策略发布给了所有员工，并且定期进行安全意识培训，特别是在策略加以更新的时候。另外为了确保策略的实用性，日常的监控活动必不可少。

通过日志恐怕是跟踪安全策略执行情况最有效的方法。搜集和分析日志数据将有助于了解IT环境中出现的情况。如果一名员工把与工作有关的电子邮件发送到个人账户，或者试图访问不在权限范围之内的数据，或者企业外面的黑客屡次企图登录企业服务器，但都未得逞……这些事件都会一一被记录到日志中。通过日志跟踪用户和系统的活动，并将这些数据与安全策略规定的条文进行对比，这才是客观地评估日常安全策略执行情况的最佳方法。