以下术语可能很熟悉,但它们可能被错误地使用. 其中许多将被称为“政策”,即使这并不是它们真正代表的内容. 更好地理解这些术语可以使您的组织创建更好的治理文档.
原则
这是作为决策指南或基础的思想和价值观的最高层次. 例如, 信息安全的核心原则涉及到信息安全的利用, 信息的流动和存储包括保密性, 完整性和可用性, 也就是通常所说的中情局三合会. 如果一个原则要被一个组织采用, 它通常会得到董事会的批准.
政策
一个正式的, 用于反映业务或信息安全计划目标和管理澳门赌场官方下载行为的强制性声明是策略的定义. 政策不应过于详细,以确保经得起时间的考验, 还有技术的变化, 流程, 或管理. 为确保该政策保持相关性,应每年对其进行审查和更新. 它不应该规定如何完成某事,而是为应该完成的事情提供一个框架. 例如, 访问管理策略可能包括一个短语,要求所有公司拥有的设备/桌面/服务器/系统的用户身份验证凭据,以保护信息, 网络和系统免受未经授权的访问.
标准
这被用作应用策略时要遵循的规范,并可能规定强制性需求. 标准可以指示预期的用户行为, 对硬件或软件要非常具体, 或者描述动作, 规则, 控制, 或者配置设置. 目标是使与标准相关的政策更有意义和更有效. 例如, 访问管理标准可能包含与用户id不能共享或转移给其他用户相关的短语. 请记住,标准需要强制执行才能有效.
指导方针
指导方针是为达到标准或政策目标而建议的行动方针. 它不是强制性的,应该为个别情况提供灵活性. 这可以在不能满足严格需求的情况下使用, 具体标准不适用, 或者需求需要针对特定的受众或环境进行定制. 例如, 可以建立安全指导方针来防止恶意软件, 例如扫描所有附件和下载.
基线
这是一组基本规则,为特定的实现或配置标准提供了方向. 它们可能特定于平台, 系统, 网络, 或者设备类型, 目标是保持一致和一致. 基线也可以映射到行业标准和控制. 例如, 组织可以为Linux服务器操作系统创建一个基线, 例如启用了多因素身份验证.
在创建这些文档时, 底线是它们需要易于理解并能够实现. 拥有太多这样的文档会让人感到困惑, 因此,在确定哪种文档是有用的时,组织应该有所选择. 希望, 更好地理解这些术语将允许组织编制治理文档,从而减少混乱并降低效率低下.
