系统管理自测32问之29：书面安全性规章制度

【51CTO精选译文】本文是《Limoncelli的测试：有助于提高系统管理员团队工作效率的32个问题》当中的第29题：企业中是否向员工下发了书面的安全性规章制度？

仔细参阅现有的成功策略是获取灵感的好方法。SANS就在这方面做出了相当优秀的实例：

http://www.sans.org/security-resources/policies/

在付诸实践之前，准备好一份完备的书面安全性规章制度至关重要。

51CTO编辑注：上面提到的SANS的安全规章模板共分为如下几个类别：

• 审计安全策略
• 计算机安全策略
• 桌面安全策略
• 邮件安全策略
• HIPAA安全策略（健康方面）
• 互联网安全策略
• 移动安全策略
• 网络安全策略
• 物理安全策略
• 服务器安全策略
• 无线安全策略

虽然我们说到书面的规章之类的，都会觉得这种规章只是入职的时候看一看，看完了就全都扔到一边去的门面东西；不过很多时候，撰写规范的书面安全性规章配合完善的培训制度，的确能够为企业避免很多安全的隐患。

【51CTO.com译文，转载请注明原文作译者和出处。】

原文：http://everythingsysadmin.com/the-test.html

Limoncelli的测试：有助于提高系统管理员团队工作效率的32个问题：

• A.面向公众的处理方式:
  • *1.有没有通过项目管理系统对用户请求进行跟踪？
  • *2. “三大授权策略”是否经过具体定义并加以发布？
  • 3.整个团队的运行状态每月是否依各细则指标加以衡量并备案？
• B. 现代化团队处理方式:
  • *4.你在维基词条中是否具备独特的“策略及流程”类说明？
  • 5.日常所采用的密码安全性有保障吗？
  • 6.技术团队的代码是否处于源码控制系统的监管之下？
  • 7.你的团队有没有使用bug跟踪系统？
  • 8.在你的bug/项目管理方面，稳定性问题的优先级是否高于新功能？
  • 9.你的团队有坚持记录“设计文档”的习惯吗？
  • 10.一旦发生问题，有没有一套机制专门用于记录故障信息？
• C. 业务操作方式:
  • *11.每项具体服务都具备操作文档吗？
  • *12.每项服务是否都得到了适当的监管？
  • 13.你有没有部署过寻呼轮换机制？
  • 14.业务流程中是否具备彼此独立的开发、质量保证以及生产系统？
  • 15.在某套方案进行大范围推广前，有没有事先进行过必要的试点？
• D. 自动化处理方式:
  • 16.有没有在业务中使用到类似cfengine、puppet以及chef之类的配置管理工具？
  • 17.任务自动管理机制是否在身份账户的制约下进行？
  • 18.电子邮件的自动化生成处理是不是只在必要时启动，而非靠满纸荒唐言来拼凑使用率？
• E. 团队管理方式:
  • *19.有没有一套专门的数据库用来管理所有计算机设备？
  • 20.操作系统安装是否达到了完全自动化？
  • *21.整个团队中的软件升级及补丁更新是否做到了自动化处理？
  • 22.有没有一套完整的硬件更新规章？
• F. 硬件发生故障时的处理方式:
  • *23.当某块硬盘发生问题时，你的整套服务器体系能否继续运作？
  • 24.网络核心有没有做到N+1？
  • *25.你的备份工作是自动完成的吗？
  • *26.有没有定期测试灾难恢复方案的制度或计划？
  • 27.你数据中心内的设备具备远程电源/控制台访问功能吗？
• G. 安全性处理方式:
  • *28.业务中所用到的台式机、笔记本电脑以及服务器是否运行着自动更新且无需确认提示的反恶意软件？
  • *29.企业中是否向员工下发了书面的安全性规章制度？
  • 30.你有没有对所有相关领域进行周期性的安全审查？
  • 31.是否有相关机制允许管理者在一小时内关闭所有用户账户？
  • 32.是否有相关机制允许管理者在一小时内改变所有特权（主控）密码？