重要なポイント:
ポリシーをサポートする標準を正しい環境で定義できるようにするために、組織のセキュリティの受容/食欲について概説する必要があります。
また、責任、所有権、スポンサーシップを定義する必要もあります。
いくつかの例を提供するためだけに更新しました。高レベルでは、テクノロジーリスクを測定、理解、および規制できるように、最低限のポリシーが必要です。これらは、多くの環境でのガバナンスの観点からも必要になります-
- 情報セキュリティ方針
- 情報分類ポリシー
- 利用規定
- データ保持ポリシー
- データ保護ポリシー
- リスク評価方針
大規模な組織がサードパーティを含むガバナンススキームを実行している可能性があるため、サービスや製品を大規模な組織に提供する場合は、次のことも検討する必要があります。
- 企業および社会的責任に関する方針
- 環境方針
- 機会均等ポリシー
英国では、1998年のデータ保護法に関連してデータ保護要件を定義する必要があります。また、規制当局およびIT部門のセキュリティ監査と評価の多くとして、ISO27001ファミリの標準を考慮してポリシーフレームワークを構築する必要があります。法定監査は27001を中心に構成されています。
企業のセキュリティポリシーは短く、読みやすく、一般的な用語である必要があります。基本的には、ビジネスに対する全体的な脅威とリスク、およびそれらを軽減するための一般的なアプローチをリストする必要があります。
たとえば、データベースに保存するデータに価値がある企業がある場合、企業のセキュリティポリシーでは、ネットワークアクセス制御や暗号化制御などの複数レベルのセキュリティ制御と、おそらく機密データでデータベースを保護する必要があると規定されている場合があります。厳密な変更管理下にあるシステムに保存する必要があります。
これらの詳細の実装は、システム自体と、ビジネスによって選択された標準化されたテクノロジーにより具体的に依存するため、下位レベルのドキュメントに詳細を記載する必要があります。
上記のコメントに同意します。「正しい」ポリシーは組織に大きく依存します。
ただし、ISO/IEC 27000シリーズは、大規模なIT組織で採用されていることが多い情報セキュリティ管理の標準のセットです( http://en.wikipedia.org/wiki/ISO/ IEC_27001 、 http://iso-17799.safemode.org/ )。
たとえば、27002は次のようなものをカバーする「実践のコード」です。
- リスク評価と治療
- セキュリティポリシー
- セキュリティ組織
- 資産の分類と管理
- 人事セキュリティ
- 物理的および環境的セキュリティ
- コミュニケーションおよび運用管理
- アクセス制御
- システム開発とメンテナンス
- 情報セキュリティインシデント管理
- 事業継続管理
- コンプライアンス
あなたがそれを完全に採用していなくても、私はあなたの方針のための目次草案を作成するためにその基準から始めます。
それは依存します:あなたのビジネスにとって最大のリスクは何ですか?すべてのクールな子供たちがウイルス対策を持っているので、セキュリティポリシーはウイルス対策を義務付けることではなく、あなた緩和することが最も重要な脅威を理解し、戦略を定義することです(戦術ではありません) )そのような緩和策を実行する。