什么时候应该评估信息安全策略

　　高级经理的变更或者提升，或者开始提供一种产品或服务，以及为了迅速改变一项业务而需要改变的因素。新的报告流程也许不能明确包含风险的拥有者和责任，但只要一家公司进行这种改变，网络安全策略和政策就要相应地进行改变以提供满足变化的机构所需要的安全。

　　我最近与一家大型机构合作。这家机构首次在网络上提供许多产品和服务。尽管从“brochureware”策略向电子商务网站的转变是成功的，但是，这在内部网络以及互联网上增加了大量的个人身份识别信息的传输。因此网络安全政策必须升级以确保网络通讯中出现的这种变化的安全。所有连接到客户数据库的网络连接都要加密，网络用户的访问权限要进行审查和做必要的调整，并且为了进一步满足机构的安全需要开始使用各种数据泄漏检测工具。

　　早一些向每一个人宣传这个策略

　　为避免安全策略不符合实际，IT安全部门的负责人需要紧密联系机构的部门及其策略的变化，以及了解每一个部门是如何计划实施这些策略的。应该定期与高级决策者沟通，发现和讨论有关领域的问题。通过全方面了解业务和安全的必要性，在采购和实施安全技术时就能够做出明智的决策。例如，如果一个新的业务计划很早就包含了安全相关内容，安全策略就能够在这个项目开始的时候做出详细计划并实施。这种方法在保证企业安全过程中总是更有效的。

　　安全策略的关键组成部分

　　网络安全策略评估的重点应该是评估当前的安全策略是否能够满足以下条件：

　　·在休息时和在整个网络传输中根据其安全策略分类保护数据；

　　·减轻未知的和新出现的各种威胁；

　　·在安全提供服务的同时最大限度地利用资源；

　　·让机构的运营管理适应风险；

　　·满足已有法规和管理规定的要求。

　　让管理层批准新的安全策略

　　当前信息安全策略的任何重大变化都必须要得到关键的决策者的支持。他们必须要在董事会上签署和支持信息安全策略的重大变化。需要额外资金的新的安全计划如果涉及到风险和法律法规的问题很可能会得到批准，这是推动管理层做出决策两个重要推动因素。我最近向客户提出的一个建议是，一旦董事会充分重视保护其客户数据的法律责任，这个几乎很快就会获得批准。

　　一个网络安全策略的改变通常需要保证新的产品或者服务能够顺利运行。这些产品和服务不是免费获得的。因此，要在安全预算中增加这项关键的开支，设法展示这个修改的策略是节省开支的计划的一部分，例如把这个计划作为提高效率和减少整个开支的技术项目的一部分。

　　然而，重要的是安全团队能够全面理解一个机构容忍风险的程度。当安全团队和业务经理对公司适当的风险水平有不同的定义的时候，业务策略和安全策略就会发生分歧。当一位新任命的高级经理来自不同的行业并且适应在不同的风险环境中工作的时候，这种分歧是经常发生的。当这些团队不能面对面地解决这个问题的时候，就可能出现防御水平过高或者过低以及错误使用预算开支的情况。

　　创建一个随着业务计划的发展不断更新的网络安全策略是一个挑战。政策调整需要依赖网络中所有部门的沟通和合作。这里的关键是保证网络安全策略成为一个能够促使业务成功的因素而不是导致业务失败的因素。安全专业人员需要改变自己的观念和他们的业务部门的同事的观念。最重要的是要考虑到，哪怕是一个最小的业务变化都可能打开一个巨大的安全漏洞。