时间

　　至少每年一次；如果你在这一年中发现过期了就要多进行几次。

　　什么

　　策略解释和调整了将应用到你的企业中的法律；作为很好实践的书写记录，你想要在企业中强调并加强，不关有没有法律含义。

　　为什么

　　策略是通用的；程序是特别的。两者你都需要：策略告诉你为什么做，标准操作程序告诉你怎么做。在成熟的企业中，所捕获的重复程序可以产生有效的改善（可以查看http://www.sei.cmu.edu，例如）。对很多企业来说，策略详细说明了丢失防护的管理部分——如何保护谁的什么东西等等。当设计系统，或者升级系统的时候，企业应该查看这些策略。当企业需要对大型问题作出回应的时候，例如萨班斯法案和联邦信息系统管理法案等，它就会特别有用。你的策略是如何满足国家的要求的，例如“……确保代理CIO（Chief Information Officer），和其他高级代理官合作，每年向代理总部灰白关于代理信息安全项目的效率问题，包括矫正措施的进程……”如果没有首先在本地层面上解决这些要求怎么办呢？你还是需要经常要执行的策略要求的程序，用于培训新人，以及处理例外的程序，因为很少执行会忘掉细节。

　　策略

　　经常使用是大型的策略文件，但是带有主题策略的较短的策略概要更容易更新。每一条微小策略的上面都需要标明范围、适用系统、参考资料、有效期、如果它占用了其他的策略/程序，策略的权威性应该属于谁以及问题和下一步的联系指向。结果的部分应该解释策略的威胁或者原因，以及违犯的法律后果和组织的影响，但是不是法律法规被违犯。当更新的时候，也要注意由于惯例和技术造成的概念和实践的不适用问题。准备以下资料：向每位注册账户或者加入企业的新人提供副本；或者在策略的每次重大更新时以电子方式发布，并且不能忘了加过符号的确认之处。例如：使用你让别人采用的实践——大家不会错过很多，如果你没有执行你所鼓吹的他们就会注意到。在你的管辖地走动一下，看看大家是怎么使用的，或者有没有使用这些策略。这会让你看到趋势、潜在的问题区域以及培训的方向等。

　　更多信息

　　我时常会查看SANS的参考资料。NIST也有很多参考，在搜索引擎中输入“安全策略模板”，搜索引擎就会提供你可以模仿的很少的选择。如果企业把他们的策略传到了网络，可以查找你所喜欢的以及有帮助的没；，然后合并到你的策略中。

上周：自我和IT员工培训

下周：支持系统监控的通栏