物理设备的价值通常远远低于其所包含数据的价值。如果敏感数据落入公司的竞争对手或者是犯罪分子手中,将会造成严重的损失。这类损失可能会导致大众对该公司缺乏信心,负责计算机安全的技术人员也可能会被解雇。要保护数据,可以采取多种安全保护方法。

公司应该竭力达到效果最佳、成本最低的安全保护水平,防止数据丢失或软件和设备受损。网络技术人员和公司管理层必须同心协力,制定出一套可保护数据和设备免受安全威胁影响的安全策略。在制定策略时,管理层应该估算数据丢失产生的损失成本和安全保护的费用,权衡后作出可接受的取舍。安全策略应包含有关所需安全级别以及如何实现这种安全性的全面说明。

您可能会参与某位客户或某家公司的安全策略制定工作。在制定安全策略时,可询问以下问题确定安全因素:

制定安全策略时,需要明确一些主要方面:

安全策略还应该提供有关紧急情况中以下问题的详细信息:

策略的适用范围以及违规后果必须给予明确说明。安全策略应该定期审核并根据需要更新。修订历史记录应该给予保留,以便跟踪所有策略更改。确保安全性是公司每位员工的责任。所有员工(包括非计算机用户)都必须经过相应的培训以了解安全策略,并获悉每次安全策略更新。

在安全策略中还应该定义员工对数据的访问权限。策略应该防止高度敏感数据的公共访问,同时确保员工仍能执行各自的工作任务。数据分类可以从公共到绝密,两者之间还可以有多个不同级别。公共信息可以对所有人显示,没有安全要求。但公共信息不能恶意用于伤害公司或个人。绝密信息需要的安全性最高,原因是此类数据泄露会对政府、公司或个人造成极大的危害。