システム管理者向けのセキュリティポリシー

承知しました。これは、元々は@ jl01からの回答に対するあなたの応答へのコメントとして意図されていましたが、長すぎて、それ自体にメリットがあるはずです...

ポリシーを作成することには、ほぼ芸術があります。理想的には（一部の人々は私に同意しないと確信していますが）ポリシーはトピックに関する非常に一般的なステートメントになるでしょう。たとえば、「この会社はシステムパッチの現在のベストプラクティスで運用する」ほど複雑ではありません。考え方は、ポリシーが確立されるべきであり、（完全に行われた場合）変更する必要はないということです。さまざまなテクノロジー、攻撃ベクトル、規制などが変更されても更新する必要がないように、十分に一般化する必要があります。

ポリシーをビジネス/テクノロジーの個別の領域に分割することは非常に一般的です。これは、会社に合わせたカスタムポリシーを作成するのに役立ち、それらのポリシーを参照するときに明確に保つことができます。

それを考えるもう1つの方法は、ポリシーは、ビジネスの後ろの端をカバーする方法であるということです。これは可能な限りカバーするように作成されているため、問題が発生した場合でも、同じポリシーを使用しながら、個別の状況への対応を整えることができます。

これらのポリシーは、手順、ガイドライン、および規制を介して拡張されます（考えてみると、これはSANがそれを記述する方法にかなり近いはずです）。 SANは私が「手順」と呼ぶものを「標準」と呼んでいると思います。そのため、混乱を招きましたことをお詫び申し上げます。

手順は、ポリシーに従う実際の慣行です（私が見た多くのポリシーは、ポリシー自体内の該当する手順を参照しているようです）。

一方、ガイドラインはまさにそれであり、許容可能なプラクティスの提案です。これらは単なる提案にすぎませんが、軽視すべきではありません。監査が行われるとき、これらは監査人がラッチすることができる控えめな果物です。

手順とガイドラインは、変化するビジネス環境、環境問題、脅威などに合わせて更新する必要がある唯一のものです。

最初の一連のポリシーを設計したとき、これが情報セキュリティポリシーに関するクラスからのものであることを前提として、次のさまざまなポリシーを設定しました。

• 情報機密ポリシー
• エクストラネットポリシー
• メールポリシー
• リムーバブルメディアポリシー
• パスワードポリシー
• セキュリティ監視ポリシー
• ルーターのセキュリティポリシー
• サーバーのセキュリティポリシー
• システム更新ポリシー
• ASPポリシー
• サーバー管理ポリシー
• セキュリティトレーニングポリシー

これは完全なリストではありませんが、発生する可能性のある故障のいくつかのアイデアを提供するはずです。ポリシーの分割方法は、その会社のニーズによって異なります。

最後に、しかし絶対に重要なことですが、各ポリシーは、何がどのように適用されるかについて疑いがないように作成する必要があります。これにより、各ポリシーとともに、そのポリシーに関する目的、範囲、施行、および定義を確立する必要があります。私はいつも「終了まで影響が及ぶ」というフレーズを入力するのは楽しいです。

私はそれを前にリストしませんでしたが、倫理方針はすべての方針セットに含まれるべきです。 ASP、またはそのためのサービスを使用している場合でも、彼らの倫理ポリシーを要求し、あなたが見るものに応じて、契約によって彼らがその仕事のためにあなたの会社の倫理ポリシーを遵守することを要求することは良い習慣です。

だから、私は主題に少し遠くまで潜ったかもしれません...しかし、それが役に立てば幸いです。

免責事項：私は、これがポリシーを構築する唯一の方法ではないことを知っています。私の経験から、ほとんどの企業には、長年にわたる規制の変更とコンプライアンスの問題にわたって大まかに構築された一連のポリシーがあります。

pS ASPはアプリケーションサービスプロバイダーです。上記の定義については言及していません。