自動化工具

為了進(jìn)行有效的策略管理，涌現(xiàn)出了一類支持策略制定、實(shí)施、維護(hù)的工具軟件。這些工具中最有名的是策略中心方法論( VPC)，一個(gè)集成的策略核定和實(shí)施系統(tǒng)。VPC允許策略制定者創(chuàng)建策略，并有多個(gè)組織或人員管理核定過程，將已批準(zhǔn)的策略在機(jī)構(gòu)內(nèi)發(fā)布。VPC估計(jì)讀者對策略的理解程度，并將讀者的認(rèn)可記錄在電子檔案中。這樣一來，就減少或消除了文檔復(fù)印件的分發(fā)過程，這些復(fù)印件可能無人閱讀，也減少或消除了多項(xiàng)策略回執(zhí)認(rèn)可表的管理過程。諸如VPC類的工具，通過機(jī)構(gòu)內(nèi)部互聯(lián)網(wǎng)的密碼保護(hù)保持策略的機(jī)密性，同時(shí)生成定期報(bào)告， 說明機(jī)構(gòu)中哪些員工已經(jīng)閱讀和認(rèn)可該策略，而哪些還沒有，圖4 -10例舉了VPC 的方法步驟。

　以上對VPC的描述取自NetIQ產(chǎn)品文獻(xiàn)：

NetIQ的VigilEnt策略中心允許你在機(jī)構(gòu)范圍內(nèi)，通過一個(gè)基于網(wǎng)絡(luò)的自動化方案，管理和實(shí)施你所有的策略。你可以使策略始終保持最新，它們會自動地更改和發(fā)布到網(wǎng)絡(luò)瀏覽器上。此外，VigilEnt策+略中心為你提供了必要工具，以追蹤用戶遵守狀況，并衡量全體員工對策略的理解程度和安全意識。

當(dāng)策略的制定和發(fā)布均未使用軟件自動化工具時(shí)，通常很難找到策略的最初制定者以及批準(zhǔn)者。但若使用VPC這樣的工具，策略中會明顯地標(biāo)明其主要負(fù)責(zé)管理者的名字以及批準(zhǔn)日期。這樣的標(biāo)識方式會使管理者不愿使用自動化工具來實(shí)施策略，因?yàn)檫@會將新制定的約束和規(guī)則與該管理者聯(lián)系起來。這樣的猶豫會成為難以克服的障礙，但是，如果對管理人員工作效率的評估是基于階段目標(biāo)的成功實(shí)現(xiàn)（比如，一個(gè)有效的策略實(shí)施過程），而不是以工作中的失誤為評判標(biāo)準(zhǔn)，那么就能夠成功地克服這一障礙。

《信息安全策略制定簡化方法》

我們在前面參考了《The Information Security Policy Macle Easy》 (ISPME)這本書。經(jīng)由該書作者和出版商的許可，將討論策略制定的另一種方法。