Policy 安全策略
一组用来降低风险、保护信息的规则。Policy 回答的是”我们公司在安全上的立场是什么” —— 比如”所有员工必须用 MFA”、“敏感数据不能存本地”。
Policy / Standard / Procedure 三层关系
| 层级 | 抽象度 | 例子 |
|---|---|---|
| Policy | 最高,讲原则 | ”所有访问必须经过身份验证” |
| Standard | 中,讲规格 | ”必须用 MFA,至少两因子” |
| Procedure | 最低,讲步骤 | ”如何在 Okta 里启用 MFA:第 1 步… 第 2 步…” |
常见的安全 Policy 类型
- Acceptable Use Policy(AUP) —— 员工怎么用公司设备
- Password Policy —— 密码长度、复杂度、轮换
- Data Classification Policy —— 数据按敏感度分级
- Incident Response Policy —— 出事了怎么办
- BYOD Policy —— 自带设备能不能连内网
为什么 Policy 很重要
没有 Policy = 没有依据 = 出了事追责无门。Policy 也是 合规 审计的起点 —— 审计员第一句话往往是”把你们的 Policy 给我看下”。
跟 安全治理 强相关。