Sju nycklar till informationssäkerhetspolicy Development

Hur mogen är din information säkerhetspolitiskt program? Har du en uppsättning av föråldrade dokument som lagras i ett bindemedel eller intranät? Eller har du ett dokumenterat management program som håller er politik aktuell, användarna informerade och dina interna revisorer sova på natten? Omdömen

I denna artikel kommer vi granska sju viktigaste egenskaperna hos en effektiv informationssäkerhetspolicy management program. Dessa element är gallrats från våra ledande praxis, ramar informationssäkerhet och integritet, och tillbud med inblandning informations säkerhetspolicy. Organisationer kan använda denna checklista för att utvärdera löptid sina befintliga informations säkerhetspolicy. Omdömen

1. Skriftliga Information Security Policy dokument med Version Control Omdömen

Även om det verkar självklart, nästan varje informationssäkerhet standard och ramverket innehåller krav på särskilt informations säkerhetsregler som skall skrivas. Eftersom skriftlig information säkerhetspolicy definierar ledningens förväntningar och angivna mål för att skydda informationen, kan politiken inte vara "underförstådd" - men måste dokumenteras. Att ha en "skriven säkerhets policydokument" är den första nyckelkontroll är etablerad inom den internationella standarden ISO /IEC 1-7799: 2005 (ISO 27002), och är avgörande för att utföra både interna och externa revisioner. Men vad är några egenskaper som gör ett effektivt skrivna policydokument

2. Definieras Policy Document Ägande Omdömen

Varje skriftlig information säkerhetspolitik dokument bör ha en definierad ägare eller författare. Detta uttalande av ägandet är oavgjort mellan de skriftliga riktlinjer och erkännandet av ledningens ansvar för att uppdatera och underhålla informations säkerhetspolicy. Författaren ger också en kontaktpunkt om någon i organisationen har en fråga om särskilda krav på varje politikområde. Vissa organisationer har skrivit informationssäkerhet politik som är så out-of-date som författaren inte längre är anställd av organisationen. Omdömen

3. Riktade Användargrupper för varje säkerhetspolitik Omdömen

Inte alla informations säkerhetspolicy är lämpliga för varje roll i företaget. Därför bör policydokument skriftlig information säkerhets riktas till särskilda målgrupper med organisationen. Helst bör dessa målgrupper i linje med funktionella användarroller inom organisationen. Omdömen

Till exempel kan alla användare behöver se över och erkänna Internet Godtagbara Använd politik. Dock skulle kanske bara en delmängd av användarna åläggas att läsa och erkänna en Mobile Computing politik som definierar de kontroller som krävs för att arbeta hemma eller på resande fot. Anställda redan inför informationsöverflöd. Genom att helt enkelt placera varje informationssäkerhetspolicy på intranätet och be folk att läsa dem, är du verkligen be någon att läsa dem. Omdömen

4. Omfattande Information Security Ämne Täckning Omdömen

Sedan skriftlig information säkerhetsregler ger en plan för hela säkerhetsprogram, är det viktigt att de ta itu med de viktigaste logiska, tekniska och administrativa kontroller som krävs för att minska risken för organisationen. Exempel inkluderar tillträdeskontroll, användarautentisering, nätverkssäkerhet, mediekontroller, fysisk säkerhet, incidenthantering, och kontinuitet i verksamheten. Även om den exakta profilen för varje organisation är olika, kan många organisationer ser till lagstadgade krav för att definiera säkerhetspolitiska ämnet täckning för sin organisation. Till exempel måste vårdföretag inom USA ta itu med kraven i HIPAA, finansiella tjänster företag måste ta itu med Gramm-Leach-Bliley Act (GLBA), medan organisationer som lagrar och bearbetar kreditkort måste uppfylla kraven i PCI-DSS.

5. En Verifierad Policy Medvetenhet och Audit Trail Omdömen

Säkerhet policydokument kommer inte att vara effektiva om de inte läsas och förstås av alla medlemmar i målgruppen är avsedd för varje dokument. För vissa dokument, till exempel ett Internet Acceptable Use Policy eller Code of Conduct, är målgruppen sannolikt hela organisationen. Varje säkerhetspolitiska dokument bör ha en motsvarande "audit trail" som visar vilka användare som har läst och bekräftade dokumentet, inklusive datum för bekräftelse. Denna verifieringskedjan måste referera till viss version av politiken, för att spela in vilka strategier höll på att verkställas under vilka tidsperioderna. Omdömen

6. Skriftlig information säkerhetspolitik Undantag Process Omdömen

Det kan vara omöjligt för alla delar av organisationen att följa alla de publicerade informationssäkerhet politik hela tiden. Detta gäller särskilt om politiken utarbetas av den juridiska eller informationssäkerhetsavdelningen utan bidrag från affärsenheterna. Hellre än att anta att det kommer att finnas några undantag från politiken, är det bättre att ha en dokumenterad process för att begära och godkänna undantag från politiken. Skriftliga ansökningar om undantag ska godkännas av en eller flera chefer inom organisationen, och har en bestämd tidsram (sex månader till ett år), varefter de undantag kommer att ses över på nytt. Omdömen

7. Regelbunden säkerhetspolitiken Uppdateringar för att minska risken Omdömen

revisorer, tillsynsmyndigheter och federala domstolar har konsekvent skickas samma budskap - Ingen organisation kan hävda att det är ett effektivt sätt minska risken när det har en ofullständig, föråldrad uppsättning skriftliga riktlinjer. Skriftliga säkerhetsregler bilda "plan" för hela informationssäkerhet programmet och ett effektivt program måste övervakas, ses över och uppdateras på grundval av en ständigt föränderlig omvärld. För att hjälpa organisationer med denna svåra uppgift, vissa företag publicera ett bibliotek av skriftliga informationssäkerhet politik som uppdateras regelbundet baserat på de senaste hot mot informationssäkerheten, regulatoriska förändringar och ny teknik. Sådana tjänster kan spara organisationer tusentals dollar upprätthålla skriftliga riktlinjer Omdömen  ..