【IT专家网独家】安全政策主要用于：保护数据、客户、员工、技术系统；定义公司的安全立场；最大限度减少内部和外部泄密以及由于安全突破造成的公开泄密的风险。安全政策的创建和发布不仅是一个好主意，而且这两项任务都是由一系列企业法规决定的。这些法规包括PCI(支付卡行业数据安全标准)、HIPAA(健康保险流通与责任法案)和FISMA(联邦信息安全管理法案)。

　　本文介绍企业在编写和实施安全政策时通常容易犯的五个错误。由于这些错误非常容易出现，因此，这些错误足以对企业的盈亏底线产生严重的破坏作用。

　　1.没有一个安全政策

　　同安全政策错误一样，没有安全政策是一个最大的错误。这个错误包括实际上根本没有任何安全政策和只有“含蓄的政策”。所谓含蓄的政策是指管理层正式讨论过，但是，没有形成文字并且没有向任何人发布。

　　这种粗心大意的方法不仅会留下安全弱点和造成承担法律责任后果，而且还会违反有关法规。安全法规要求企业明确地执行一种书面和发布的安全政策。

　　当然，政策一旦正式建立，企业通常会发现他们的系统大部分都违反了政策。这并不使人感到意外。因为这种情况表明，这个政策不是围绕企业当前的IT运营标准制定的。这就意味着，除了安全政策之外，企业还必须用文件证明当前系统的缺陷、分析这些风险和评估弥补这些缺陷的成本，以便用新的政策使这些缺陷符合法规的要求。

　　2.没有更新安全政策

　　假设你不是第一个错误的受害者，你将了解一个重要的安全要点：简单地拥有一个良好的书面政策并不足以改善安全状况。

　　企业网络和商务流程不可避免地将发生一些变化。安全风险和遵守法规的要求也将变化。随着威胁和企业环境的变化，安全政策也必须随之变化。

　　更新安全政策的理由包括：新技术的发展(或者报废过期的软件或者硬件)、新的或者更新的管理规定、企业增长、给系统带来新的数据和用户的合并或者重组、新的商业线或者做法。实际上，现有的安全政策保护的任何要素发生改变都需要更新安全政策。

　　发生这样或者那样变化之后，没有定期评估和升级安全政策的企业会有发生安全漏洞和成为攻击目标的危险，尽管这些企业拥有“新的”安全政策文件。

　　3.没有使用安全政策跟踪遵守政策的情况

　　如果你有一个安全政策并且定期更新这个安全政策，你已经朝着政策的极乐世界迈出了重要的两步。但是，你还会犯其它错误!

　　除非一家企业跟踪这个安全政策是否执行或者员工是否了解这些安全政策，否则，这个安全政策在实践上和法律上都是没有用的。首先，要能够强制执行安全政策，一家公司必须保证这个安全政策发布给每一个员工并且定期举行熟悉这个政策的培训，特别是在政策更新的时候。接下来要保证政策的有用性，对进行之中的行动进行监视是很重的。

　　也许跟踪遵守政策状况最有效的方法就是记录。搜集和分析记录数据有助于了解在IT环境中发生的事情。如果一名员工把工作电子邮件发送到一个个人账户或者试图访问其权限以外的数据或者一个外部黑客试图登录一台服务器的几次企图，这些事件都将在记录数据中。通过记录跟踪用户和系统并且把这些数据与安全政策进行对比。这种做法是客观地评估你的安全政策遵守情况的最佳方法。

　　4.拥有一个“仅涉及技术”的政策

　　假如你避开了上述三个错误，在安全政策的重点方面还有一种常见的错误。

　　仅包含技术安全(如、口令的复杂性、防火墙规则、IPS报警、杀毒软件更新等)并且没有讨论人员及其活动的安全政策将使企业容易受到“软弱的”威胁攻击。这些软弱的威胁包括：内部权限滥用和个人使用计算资源等。虽然说明技术保护措施是重要的，但是，安全政策必须要包括“人、流程和技术”这三个重要的方面。

　　记录数据在这里也是非常重要的，因为系统活动都在记录数据中，能够对照安全政策进行检查并且能够作为违反和遵守安全政策的证据。

　　5.有一个大而灵活的政策

　　简单地说，一个安全政策要以需要遵守这个政策的人容易理解的方式编写。

　　如果一个安全政策以法律文书的形式编写并且长达130页，大多数员工甚至都不会去设法理解它说了什么，违反政策的行为肯定会随后发生。同样，政策太严格，禁止大多数员工完成日常工作所需要做的事情，可能会使大多数员工都不遵守这个政策。在政策制定之前要进行教育工作。因此，从一开始就建立一个明确的和容易理解的政策将提高未来遵守这个政策的水平。

　　总的来说，我们研究了五个常见的安全政策错误。对于一个要达到自己的目的安全政策，这个安全政策必须写明白并且根据需要更新。这个安全政策必须包括技术和非技术领域。最后，必须要监视遵守这个政策的情况。