CISSP的成长之路（十）：复习信息安全管理(4)

　　在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《复习信息安全管理（3）》里，J0ker给大家介绍了Information Classification的相关内容，作为使组织的安全计划得以更有效进行的工具，Information Classification在安全计划制定前期有不可替代的重要作用。完成风险分析和信息分级之后，安全计划的下一步需要做什么？这便是本文将要介绍的Policy/Standard/Baseline/Guideline/Procedure等一系列安全文档的准备工作。

　　一个信息安全计划的最终目标，就是要保护目标组织信息资产的完整性、保密性和可用性，而各种针对信息资产的威胁，诸如非授权访问、篡改、毁坏和泄漏等，却常常会破坏组织的信息资产。这样的状况就要求组织把信息安全计划纳入整个组织的资产保护计划中去，此外，信息安全技术并不能完全彻底的保护信息资产免受各种威胁的损害，对组织而言，更多的保护工作应该或只能通过管理上的手段来达到目的。因此，要成功实施一个安全计划，就必须确保组织中的每一个人都理解和支持安全计划，这时，就需要使用安全策略(policy)、安全标准(standard)、安全底线(Baseline)、安全指引(guideline)和安全流程(procedure)等一系列的安全管理手段来帮助每一个组织成员理解安全计划，并规范组织成员的行为。

　　作为安全计划的负责人，组织的信息安全主管通常要负责制定和部署组织的安全策略、标准、指引和安全流程，而他常常会从IT部门中抽调人手进行这些安全文档的制定工作。IT技术背景有时能对信息安全主管理解安全计划的技术方面提供帮助，但过多的技术人员组成却会对安全主管理解组织的业务目标和战略造成困难。安全主管在安全文档的制定过程中，也常常会从各种资料或咨询企业中寻求帮助，但从这些途径中所收集到的信息往往只能作为“怎么做”的参考，而不能回答“为什么要这样做”。因此安全文档的制定和执行还需要安全主管如同进行风险分析和信息分级 项目那样，汇集来自组织各个部门的负责人员一起进行。