策略是与整个业务的信息保护相关的管理意图、期望和方向的高级声明。这些都是由大学高层领导制定和批准的。
标准提供了执行和支持信息安全策略所需的特定的低级强制控制。
标准有助于确保整个业务的安全性一致性,并且通常包含与特定技术、硬件或软件的实现相关的安全控制。例如,密码标准可能会规定密码复杂度规则,Windows标准可能会规定Windows客户端加固规则。
指南提供推荐的、非强制性的控制,帮助支持标准,或者在没有适用标准的情况下作为参考。
指导方针应该被视为最佳实践,通常不是必需的,但强烈推荐。它们可以由支持标准的额外推荐控件组成,或者帮助填补没有特定标准适用的空白。例如,标准可能要求密码为8个字符或更多,并且支持指南可能会声明确保密码在30天后过期是最佳实践。在另一个例子中,一个标准可能需要特定的技术控制来安全访问互联网,而一个单独的指南可能概述了使用互联网和管理您的在线状态的最佳实践。
程序提供了一步一步的指导,以帮助工人执行各种政策,标准和指导方针。
虽然政策、标准和指导方针由应该到位的控制组成,但过程会深入到细节,解释如何一步一步地实现这些控制。例如,可以编写一个程序来解释如何安全安装Windows,详细说明加固/保护操作系统所需采取的每一步,以使其满足适用的政策、标准和指导方针。