没有**策略

　　作为一种**策略错误，要么是没有**策略，要么只有一个不成文的只是由几个管理人员讨论确定下来的零星的规定。

　　这样的行为将导致公司面临很大的**风险。当然了，一旦**策略策确定下来，企业发现很多时候公司的系统都违反了规定要求。这并不奇怪，这说明**政策制定与现行的IT操作不相适应。这说明公司在制定**政策时候应该对公司的系统有一个整体上的了解，分析风险，评估风险带来的损失，达到与新的**政策的统一。

　　**策略缺少更新

　　如果你很幸运，没有成为上述列举的错误的受害者，但是你还得面临另一个**问题，仅仅有美好的文字策略是远远不够应对**问题的。

　　不可避免的是，公司的网络不断在变化，相应的**风险和兼容性的问题也在变化。很显然，随着风险和企业网络的编，**策略也应及时更新。

　　升级**策略原因很多，新的技术的部署，新的管理规定的出现，企业的增长，合并等带来新的数据和用户，新的商业部门的成立等等，这些都需要新**策略的有效保护。

　　那些对这些变化视而不见的企业将会面临很大的**风险，在这样一个网络危险如丛林一样危险的时代，也许就是坐以待毙了。

　　不考虑**政策的兼容性

　　如果企业有了及时更新的**策略，那么你已经迈出了重要的步骤，然而这还不够。

　　**策略有效与否很大程度上在于员工是否意识到其指导或是限制作用。首先，为了执行这一策略，企业应该保证文件分发到所有的员工手上，进行必要的**意识培训，特别是**策略更新之时。还有，为了保证政策的有效性，适当的监督是必须的。

　　也许*有效的跟踪**策略有效性的方法是使用日志。搜集和分析日志收据有助于知道网络环境中发生了什么。如果一位员工将工作文件发送给一个私人帐号或是准备访问超出其权限的数据或是黑客进行了几次不成功的对服务器的探测，日志中将会记下所有这些信息。使用日志进行用户和系统活动跟踪分析，然后将其与**策略进行对比是检验**政策有效性的*好方法。

　　**策略中只包含技术

　　如果以上三步你都做好了，那么这点你必须特别关注。

　　如果**策略中只含有技术**(密码复杂度，防火墙规则，入侵检测警报，杀毒库的升级)，然而却对人的活动不闻不问，那么企业将面临软威胁：内部的特权被滥用，计算机资源的私人使用等等。我们不是否认在**策略中使用技术性的东西，然而**策略是一个三位一体的东西，包括“人，过程，技术”。

　　再次强调一下，日志数据对于这三者之间的平衡很重要，正如用户活动和系统活动由日志捕捉一样。

　　**策略撒网太大，过于宽泛，并且不适用

　　**策略应具有针对性

　　如果**政策中使用了大量的**术语，有130页，我想大多数的都会望而生畏，那么在工作中违反就很正常了。相似的是，如果政策中的规章制度与员工在日常中的一些主要操作行为相左的话，就会造成很大的不便。如果这样的话，政策还没有制定出来就得进行教育。由上可知，一个简明的**政策将会创造很大的便利。

　　以上我们看完了**策略中5大应该注意的问题。对于有明确目的的**政策来说，清晰的用词和及时的更新都是必须的。它应该包含技术和非技术区域，*后兼容性也应该注意。（完）