我認(rèn)為這里有幾個關(guān)鍵點(diǎn)需要與數(shù)據(jù)庫中心的安全政策相關(guān)。首先，如果管理層沒有明確表示他們的支持(例如，他們將會接受并強(qiáng)制政策的執(zhí)行)，你興許也只能一起放棄這個計(jì)劃。所以首先要把他們也拉上船。其次，盡可能地把你的政策提到最高級別上，這樣你就可以最大化覆蓋的部門和系統(tǒng)。最大化規(guī)則的數(shù)量，你可以真正地實(shí)施它。換句話說，如果你可以幫助它，不在你的數(shù)據(jù)庫中發(fā)生以上所有的政策，并且在無線網(wǎng)絡(luò)、存儲系統(tǒng)等等中擁有另一套規(guī)則。同樣，至少也要理解你的企業(yè)對解決PCI, GLBA, HIPAA, SOX等問題上的規(guī)則上的調(diào)整需求。這一點(diǎn)在你有一個依從性或者IT管理委員會來審視和現(xiàn)實(shí)安全政策的時候，可以帶來最好的幫助。如果你能幫助它的話，你不會想要你自己管理一套政策。

最后，確保你盡可能地以一種可以直接帶來最大理解和管理的方式記錄你的政策。以下政策中的組成部分對于保證政策的簡單性和長期的可管理性是至關(guān)重要的。

·簡介——對題目的簡單概括，例如加密

·目的——簡單列出最高的目標(biāo)和方針的策略。

·范圍——說明覆蓋了哪些雇員、部門和數(shù)據(jù)庫系統(tǒng)。

·角色和職責(zé)——列出與誰有關(guān)，以及要他們支持政策的話，需要他們做什么。

·政策的陳述——你的真正的政策的陳述。你應(yīng)該對每個主題有一篇陳述。換句話說，為前面列出的你選擇使用的每個政策創(chuàng)建一個單獨(dú)的模版。

·例外情況——強(qiáng)調(diào)沒有包括在政策里面的人，部門，數(shù)據(jù)庫等。

·過程——政策如何實(shí)現(xiàn)和在你的環(huán)境內(nèi)強(qiáng)制執(zhí)行的詳細(xì)步驟。你可能會想要參考這個信息，并且把它放在不同的文件中。

·遵循——列出如何衡量是否遵循了這個政策的過程，包括所有涉及的衡量標(biāo)準(zhǔn)。

·制裁——列出當(dāng)違反了政策時候會發(fā)生的事情。這可能包括了第一次違反的時候發(fā)生什么事情，第二次違反的時候發(fā)生什么事情，以及第三次違反的時候發(fā)生什么事情。

·回顧和評估——說明什么時候政策必須檢查其準(zhǔn)確性、實(shí)用性，以及遵循的目的(例如，. SOX, HIPAA, GLBA, PCI等)。

·參考——指出調(diào)整代碼部分河信息安全標(biāo)準(zhǔn)(ISO/IEC 17799, ITIL, COBIT等)

·相關(guān)文檔——指出其它政修訂——記錄針對這個政策文檔進(jìn)行的修改。

·修訂——記錄針對這個政策文檔進(jìn)行的修改。

·注意事項(xiàng)——最重要的注意事項(xiàng)，貼士等。它可以幫助以后的政策管理和加強(qiáng)。

如果你以正確的方式做完了以上所有內(nèi)容來構(gòu)建你的政策，它會在很長一段時間內(nèi)節(jié)省你大量的時間和煩惱，讓你的審計(jì)員很高興。良好的回報值得你的努力。

唯學(xué)網(wǎng)是國內(nèi)最具價值的教育培訓(xùn)與互動學(xué)習(xí)平臺，致力于為考生提供第一手的教育資訊與院校教學(xué)服務(wù)，因此考生如若獲知數(shù)據(jù)庫工程師考試報名時間、數(shù)據(jù)庫工程師考試成績查詢、數(shù)據(jù)庫工程師考試試題或其他關(guān)于更多數(shù)據(jù)庫工程師考試培訓(xùn)的相關(guān)信息，請密切關(guān)注唯學(xué)網(wǎng)。