组织在实施网络安全管理的过程中,制定网络安全方针政策是非常关键的工作,网络安全方针是网络安全管理工作的纲领,用于指明网络安全工作的方向,指导网络安全管理的基本工作原则,制定网络安全管理方针政策,首先要确定方针政策的发布者,发布者在组织结构中的位置在相当程度上决定了网络安全管理方针的权威性,类同法律体系中的法律、法规的颁布机构,在信息科技已经融入组织核心生产的今天,网络安全管理方针政策由组织最高管理者(管理层)发布为最佳。网络安全管理方针政策的首要任务是设置网络安全的目标,目标的设定应简单明确,例如:“保护企业信息的机密性、完整性与可用性”,良好的做法还包括为网络安全政策设置一个简短、朗朗上口的宣贯口号,例如:“网络安全、企业未来,管技结合、内外并重,预防为上、防范为辅,全员有责、高层表率”。
由于网络安全管理的方针政策的统领特性以及由组织高层管理者颁布的因素,该方针政策需要一个良好的策略来作为编制原则,例如:
简练:网络安全管理方针政策是组织的正式文件,因此应以书面语言编制为根本,采用短句以便于阅读,避免使用修饰性词语引入度量性上的缺陷。
清晰:网络安全管理方针政策应尽量避免发生理解上的歧义,由于中文是二义性较高的语言,因此组织语言使方针政策的各条款具有高度的清晰性是个非常具有挑战的工作。例如:“信息访问权限应当依据工作职责需要进行设置”vs“应当禁止全部不必要的权限访问”,前者在编制流程、实际操作中更具备可行性。
完备:网络安全管理方针政策包含的内容需要指导流程文件、作业指导书、记录模板等文件的编写,为了使后续工作能够在方针政策中找到指导,因此方针政策的编写应当完备,良好的做法包括参考被广泛接受的国际标准、最佳实践,例如:ISO27000系列标准作为参考,对方针政策的完备性进行检查。
对安全管理活动中的各类管理内容建立安全管理制度,对管理人员或操作人员执行的日常管理操作建立操作规程,形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系,从而指导并有效地规范各级部门的信息安全管理工作。