Asp的安全管理（5）_ASP文摘

ASP 的安全策略

ASP 为什么需要安全策略？

在 ASP 的安全管理过程中，必须有一个通道来及时地传递任何一个给定点的现有状态。安全策略充当了这一角色。它们是对 ASP 一贯使用的当前安全要求和指导方针以及步骤的书面表示。一致的策略将使 ASP 内部清楚在安全方面必须做什么。如果 ASP 要看到在安全状态上的迅速改进，则建立安全策略是评估之后的逻辑步骤，并且应当启动而作为安全规划的一个辅助因素。

当安全管理的规划展开时，环境中的特定因素将会改变。出现变化时，策略将被检查并修改，以确保它们传递的是保护 ASP 环境的当前规划。在六到十二个月之间必须至少对安全策略检查一次，当然每当由于各种原因需要对策略进行更改时也要如此。因此，安全策略是一项持续进行的工作。

开发 ASP 安全策略的步骤

下列步骤是定义安全策略中的基本步骤。

了解安全策略由什么组成。

安全策略定义 ASP 如何管理、保护和分配敏感的信息和资源

在连接到 Internet 之前，任何 ASP 都应当开发出一个策略，其中要明确地指定将使用的解决方案以及如何使用这些解决方案

该策略应当明确、简洁并易于理解，同时有更改策略的内置机制（灵活性）

默认策略：除非明确允许，否则不使用它

理解安全策略必须要遵守什么要求。

在“服务级别协议”中定义的外部客户要求

涉及安全性的外部法律要求

外部供应商安全策略

内部 ASP 安全策略

在 ASP 和客户环境的集成情况下，内部/外部的安全策略

理解应如何考虑安全策略；确定要保护什么。

计算机资源

关键系统

敏感系统

客户和公司数据

关键数据

敏感数据

公用数据

确定安全策略指导方针。

开发一个双级别的策略

高级别策略

从客户的角度编写

保持简单

避免技术术语并包含对它的解释

低级别策略

为实施者而编写

有关如何执行的详细技术说明

包括筛选规则等

安全策略必须以 ASP 客户的实际条件为基础；它应当明确、一致、简洁和易于理解。

提供定期检查和检验

ASP 服务的管理

客户关系管理

客户关系管理的内容是发展及培养客户和 ASP 之间良好的职业工作关系。客户关系管理人员必须介入 MOF 的所有其它层面。例如，客户关系管理人员在 SLA 协商期间促进 ASP 与客户之间的互动，并参与解决客户对所提供服务的不满。如果客户关系管理人员提供给客户的解决方案确实安全，那么这对客户关系管理人员而言就是一个卖点。

与客户的沟通是 CRM 进行安全管理的的主要方面。

服务管理

在安全管理过程中采取的所有操作都取决于“服务级别协议”中协商一致的服务级别。“服务等级管理”确保指定并实现有关提供给客户的服务方面的协议。目的是创建最优的 IT 服务，使得客户对 IT 服务的期望和要求都能得到满足，并且能为 ASP 和客户双方调整相关的成本。