對于大多數組織，維持安全是保證業務持續運轉必不可少的部分。為了減少安全性故障的可能性，已通過分層的文檔組織對實現安全性的過程進行了某種形式的規范化（formalize）。每個層級聚焦處理特定類型和類別的信息和問題。制定并實施文檔化的安全策略，標準，過程和指南，將產生堅實而可靠的安全基礎結構。這種規范極大地減少了為IT基礎架構設計和實施安全解決方案的混亂和復雜性。

組織安全策略的四個組成部分可以用下圖表示，

最頂層是安全策略（security policies），它定義了主要的安全目標并概述了組織的安全框架。還確定了數據處理的主要功能領域，并闡明和定義了所有相關術語。安全策略文檔經常被用作證明高級管理層在保護自己免受入侵，攻擊和災難的影響時盡責。 安全策略是強制性的。

在安全策略制定之后，就可以基于它起草其它安全文檔。安全標準（security standards）定義了對硬件，軟件，技術和安全控制的統一使用的強制性要求。安全標準文檔提供了一套行動方針，通過該行動方針，可以在整個組織中統一實施技術和程序（technology and procedures）。 標準是戰術文檔，定義了實現安全策略定義的目標和總體方向的步驟或方法。

安全基準（security baselines）是下一個層級。 基準定義了整個組織中每個系統都必須滿足的最低安全級別。基準通常是特定于系統的，并且通常參考行業或政府標準，例如可信計算機系統評估標準（TCSEC）或信息技術安全評估和標準（ITSEC）或NIST（美國國家標準技術研究院）標準。

繼續往下就是安全指南（security guidlines）。 它提供有關如何實施標準和基準的建議，并為安全專業人員和用戶提供了操作指南。安全指南很靈活，因此可以針對每個特定的系統或條件進行自定義，并且可以在創建新程序（procedures?）時使用。

安全程序(security procedures?)是規范安全策略結構的最后一個元素。 過程或標準操作過程（SOP）是詳細的分步操作指南文檔，描述了實現特定安全機制，控件或解決方案所需的確切操作。
?

?

總結

以上是生活随笔為你收集整理的组织安全策略的四个组成部分及其目的的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。