Sette chiavi per Information Security Policy Development
Come matura è il vostro programma di informazione politica di sicurezza? Avete una serie di documenti obsoleti archiviati in un sito raccoglitore o intranet? O avete un programma di gestione documentato che mantiene i criteri fino ad oggi, gli utenti informati e le vostre auditor interni a dormire la notte?
In questo articolo passiamo in rassegna sette caratteristiche fondamentali di un efficace programma di gestione delle policy di sicurezza delle informazioni. Questi elementi sono abbattuti dalle nostre pratiche più importanti, framework di sicurezza delle informazioni e privacy, e gli incidenti che coinvolgono le politiche di sicurezza delle informazioni. Le organizzazioni possono utilizzare questo elenco di controllo per valutare la maturità delle loro politiche di sicurezza delle informazioni esistenti.
1. Scritto documenti informativi politica di sicurezza con la versione
controllo
Anche se sembra ovvio, standard di sicurezza quasi tutte le informazioni e il quadro richiede specificamente politiche di sicurezza da scrivere. Poiché le politiche di sicurezza delle informazioni scritte definiscono la gestione delle aspettative e gli obiettivi dichiarati per la protezione delle informazioni, le politiche non possono essere "implicita" - ma devono essere documentati. Avere un "documento programmatico sulla sicurezza scritta" è la prima chiave di controllo stabilito lo standard internazionale ISO /IEC 1-7799: 2005 (ISO 27002), ed è fondamentale per l'esecuzione di controlli sia interni che esterni. Ma quali sono alcune caratteristiche che rendono un documento politico efficace scritto?
2. Definito Documento Proprietà
Ogni informazione documento programmatico sulla sicurezza scritto dovrebbe avere un proprietario o autore definito. Questa affermazione di proprietà è il legame tra le politiche scritte e il riconoscimento della responsabilità della direzione per l'aggiornamento e il mantenimento di politiche di sicurezza delle informazioni. L'autore fornisce anche un punto di contatto, se qualcuno nella organizzazione ha una domanda su esigenze specifiche di ciascuna politica. Alcune organizzazioni hanno scritto politiche di sicurezza che sono così out-of-date che l'autore non è più alle dipendenze dell'organizzazione.
3. Mirate gruppi di utenti per ogni
la politica di sicurezza
Non tutte le politiche di sicurezza delle informazioni sono appropriati per ogni ruolo in azienda. Pertanto, documenti di politica di sicurezza delle informazioni scritte devono essere mirati a pubblici specifici con l'organizzazione. Idealmente, questi pubblici dovrebbero allinearsi con ruoli utente funzionali all'interno dell'organizzazione.
Ad esempio, tutti gli utenti potrebbe essere necessario rivedere e riconoscere Internet policy di utilizzo accettabile. Tuttavia, forse solo un sottoinsieme di utenti sarebbe necessario per leggere e riconoscere una politica di Mobile Computing che definisce i controlli necessari per lavorare a casa o in viaggio. I dipendenti sono già di fronte a un sovraccarico di informazioni. Semplicemente mettendo ogni politica di sicurezza informazioni sulla intranet e chiedendo alla gente di leggerli, siete veramente chiedendo nessuno di leggerli
.
4. Informazioni Sicurezza completa copertura Topic
Poiché le politiche di sicurezza delle informazioni scritte forniscono il modello per l'intero programma di sicurezza, è fondamentale che si rivolgono i principali comandi logici, tecniche e gestionali necessarie per ridurre il rischio per l'organizzazione. Gli esempi includono il controllo di accesso, l'autenticazione degli utenti, la sicurezza della rete, controlli multimediali, sicurezza fisica, di risposta agli incidenti, e la business continuity. Mentre il profilo esatto di ogni organizzazione è diversa, molte organizzazioni può guardare a requisiti normativi per definire la copertura argomento politica di sicurezza per la loro organizzazione. Ad esempio, le aziende sanitarie negli Stati Uniti devono affrontare le esigenze di HIPAA, società di servizi finanziari devono affrontare la legge Gramm-Leach-Bliley (GLBA), mentre le organizzazioni che memorizzano e carte di credito di processo devono seguire i requisiti PCI-DSS.
5. Una consapevolezza politica verificata e Audit Trail
documenti di politica di sicurezza non saranno efficaci se non sono lette e comprese da tutti i membri del pubblico bersaglio per ogni documento. Per alcuni documenti, come un Internet Acceptable Use Policy o Codice di Autodisciplina, il target è probabilmente l'intera organizzazione. Ogni documento di politica di sicurezza deve avere un corrispondente "audit trail" che mostra che gli utenti hanno letto e riconosciuto il documento, compresa la data di riconoscimento. Questa pista di controllo deve fare riferimento alla versione specifica della politica, per registrare che le politiche venivano applicate durante i quali i periodi.
6. Una delle eccezioni di processo Informazioni scritto la politica di sicurezza
Può essere impossibile per ogni parte dell'organizzazione per seguire tutte le politiche di sicurezza delle informazioni pubblicate in qualsiasi momento. Ciò è particolarmente vero se le politiche sono sviluppate dal dipartimento di sicurezza giuridica o informazioni senza input da unità di business. Piuttosto che assumere che non ci saranno eccezioni alla politica, è preferibile avere una procedura documentata per la richiesta e l'approvazione delle eccezioni alla politica. Richieste di eccezione scritte dovrebbero richiedere l'approvazione di uno o più dirigenti all'interno dell'organizzazione, e hanno un periodo di tempo definito (sei mesi ad un anno), dopo di che le eccezioni saranno rivisti di nuovo.
7. Regolare la politica di sicurezza degli aggiornamenti per ridurre il rischio
Conti, regolatori, e le corti federali hanno sempre inviato lo stesso messaggio - Nessuna organizzazione può affermare che esso è effettivamente mitigazione del rischio quando si ha un incompleta, obsoleta insieme di politiche scritte. Politiche di sicurezza scritte formano il "modello" per l'intero programma di sicurezza delle informazioni, e un programma efficace devono essere monitorati, riveduti e aggiornati sulla base di un ambiente di business in continua evoluzione. Per aiutare le organizzazioni di questo difficile compito, alcune aziende pubblicano una raccolta di politiche scritte di sicurezza delle informazioni che vengono aggiornate regolarmente basano sulle ultime minacce alla sicurezza delle informazioni, modifiche normative e delle nuove tecnologie. Tali servizi possono salvare le aziende molte migliaia di dollari, mantenendo politiche scritte Hotel  .;
lo sviluppo delle imprese
- Come Internet Ambiente promuove la crescita aziendale
- Business to Business Marketplace - Vantaggi per i commercianti
- Hosted PBX per Comodo Business Start Up
- Come incrementare il tuo business utilizzando cartoline Direct Mail?
- Allenamento per il golf Migliorare Swing, migliorare il punteggio
- Utilizzando Banner stand creativo
- Cash Advance payday prestiti-Rotta per afferrare Quick Cash
- Consigli utili a Facebook Apps di sviluppo
- Articoli recentemente aggiornato per la Cucine
- Misure di sicurezza adottate nel processo di etichettatura pharma
- Fare la spesa a Hoi An
- Vantaggi di Double Sided Banner stand
- Ruote sono ogni Dove
- Semplice sito web Suggerimenti Generazione di traffico
- È la tua VoIP futuro? Di servizio di telefonia Internet residenziale
- Il linguaggio Biotech Venture Siti Capital Richiedi il 2010 e oltre
- Perché Leaflet distribuzione non per la maggior parte proprietari di piccole imprese
- Personalizzazione delle applicazioni di Facebook per Dare impulso alla vostra pagine fan
- Le imprese di progettazione sito web di oggi offrono molto più di progettazione di servizi
- Disp Qualità servizi di data center con dati Foundry