我認為這里有幾個關鍵點需要與數(shù)據(jù)庫中心的安全政策相關。首先，如果管理層沒有明確表示他們的支持(例如，他們將會接受并強制政策的執(zhí)行)，你興許也只能一起放棄這個計劃。所以首先要把他們也拉上船。其次，盡可能地把你的政策提到最高級別上，這樣你就可以最大化覆蓋的部門和系統(tǒng)。最大化規(guī)則的數(shù)量，你可以真正地實施它。換句話說，如果你可以幫助它，不在你的數(shù)據(jù)庫中發(fā)生以上所有的政策，并且在無線網(wǎng)絡、存儲系統(tǒng)等等中擁有另一套規(guī)則。同樣，至少也要理解你的企業(yè)對解決PCI, GLBA, HIPAA, SOX等問題上的規(guī)則上的調整需求。這一點在你有一個依從性或者IT管理委員會來審視和現(xiàn)實安全政策的時候，可以帶來最好的幫助。如果你能幫助它的話，你不會想要你自己管理一套政策。

最后，確保你盡可能地以一種可以直接帶來最大理解和管理的方式記錄你的政策。以下政策中的組成部分對于保證政策的簡單性和長期的可管理性是至關重要的。

·簡介——對題目的簡單概括，例如加密

·目的——簡單列出最高的目標和方針的策略。

·范圍——說明覆蓋了哪些雇員、部門和數(shù)據(jù)庫系統(tǒng)。

·角色和職責——列出與誰有關，以及要他們支持政策的話，需要他們做什么。

·政策的陳述——你的真正的政策的陳述。你應該對每個主題有一篇陳述。換句話說，為前面列出的你選擇使用的每個政策創(chuàng)建一個單獨的模版。

·例外情況——強調沒有包括在政策里面的人，部門，數(shù)據(jù)庫等。

·過程——政策如何實現(xiàn)和在你的環(huán)境內強制執(zhí)行的詳細步驟。你可能會想要參考這個信息，并且把它放在不同的文件中。

·遵循——列出如何衡量是否遵循了這個政策的過程，包括所有涉及的衡量標準。

·制裁——列出當違反了政策時候會發(fā)生的事情。這可能包括了第一次違反的時候發(fā)生什么事情，第二次違反的時候發(fā)生什么事情，以及第三次違反的時候發(fā)生什么事情。

·回顧和評估——說明什么時候政策必須檢查其準確性、實用性，以及遵循的目的(例如，. SOX, HIPAA, GLBA, PCI等)。

·參考——指出調整代碼部分河信息安全標準(ISO/IEC 17799, ITIL, COBIT等)

·相關文檔——指出其它政修訂——記錄針對這個政策文檔進行的修改。

·修訂——記錄針對這個政策文檔進行的修改。

·注意事項——最重要的注意事項，貼士等。它可以幫助以后的政策管理和加強。

如果你以正確的方式做完了以上所有內容來構建你的政策，它會在很長一段時間內節(jié)省你大量的時間和煩惱，讓你的審計員很高興。良好的回報值得你的努力。

唯學網(wǎng)是國內最具價值的教育培訓與互動學習平臺，致力于為考生提供第一手的教育資訊與院校教學服務，因此考生如若獲知數(shù)據(jù)庫工程師考試報名時間、數(shù)據(jù)庫工程師考試成績查詢、數(shù)據(jù)庫工程師考試試題或其他關于更多數(shù)據(jù)庫工程師考試培訓的相關信息，請密切關注唯學網(wǎng)。