Asp的安全管理(5) ASP 的安全策略 -------------->>>转自Microsoft
ASP 的安全策略
ASP 为什么需要安全策略?
在 ASP 的安全管理过程中,必须有一个通道来及时地传递任何一个给定点的现有状态。安全策略充当了这一角色。它们是对 ASP 一贯使用的当前安全要求和指导方针以及步骤的书面表示。一致的策略将使 ASP 内部清楚在安全方面必须做什么。如果 ASP 要看到在安全状态上的迅速改进,则建立安全策略是评估之后的逻辑步骤,并且应当启动而作为安全规划的一个辅助因素。
当安全管理的规划展开时,环境中的特定因素将会改变。出现变化时,策略将被检查并修改,以确保它们传递的是保护 ASP 环境的当前规划。在六到十二个月之间必须至少对安全策略检查一次,当然每当由于各种原因需要对策略进行更改时也要如此。因此,安全策略是一项持续进行的工作。
开发 ASP 安全策略的步骤
下列步骤是定义安全策略中的基本步骤。
了解安全策略由什么组成。
安全策略定义 ASP 如何管理、保护和分配敏感的信息和资源
在连接到 Internet 之前,任何 ASP 都应当开发出一个策略,其中要明确地指定将使用的解决方案以及如何使用这些解决方案
该策略应当明确、简洁并易于理解,同时有更改策略的内置机制(灵活性)
默认策略:除非明确允许,否则不使用它
理解安全策略必须要遵守什么要求。
在“服务级别协议”中定义的外部客户要求
涉及安全性的外部法律要求
外部供应商安全策略
内部 ASP 安全策略
在 ASP 和客户环境的集成情况下,内部/外部的安全策略
理解应如何考虑安全策略;确定要保护什么。
计算机资源
关键系统
敏感系统
客户和公司数据
关键数据
敏感数据
公用数据
确定安全策略指导方针。
开发一个双级别的策略
高级别策略
从客户的角度编写
保持简单
避免技术术语并包含对它的解释
低级别策略
为实施者而编写
有关如何执行的详细技术说明
包括筛选规则等
安全策略必须以 ASP 客户的实际条件为基础;它应当明确、一致、简洁和易于理解。
提供定期检查和检验
ASP 服务的管理
客户关系管理
客户关系管理的内容是发展及培养客户和 ASP 之间良好的职业工作关系。客户关系管理人员必须介入 MOF 的所有其它层面。例如,客户关系管理人员在 SLA 协商期间促进 ASP 与客户之间的互动,并参与解决客户对所提供服务的不满。如果客户关系管理人员提供给客户的解决方案确实安全,那么这对客户关系管理人员而言就是一个卖点。
与客户的沟通是 CRM 进行安全管理的的主要方面。
服务管理
在安全管理过程中采取的所有操作都取决于“服务级别协议”中协商一致的服务级别。“服务等级管理”确保指定并实现有关提供给客户的服务方面的协议。目的是创建最优的 IT 服务,使得客户对 IT 服务的期望和要求都能得到满足,并且能为 ASP 和客户双方调整相关的成本。
