Syv Nøgler til Information Security Policy Development

Hvor moden er din informationssikkerhed politiske program? Har du et sæt af forældede dokumenter gemt i et ringbind eller intranet? Eller har du en dokumenteret ledelse program, der holder dine politikker ajour meddelte dine brugere og dine interne revisorer sove om natten?

I denne artikel vil vi gennemgå syv centrale kendetegn ved en effektiv information sikkerhedspolitik management program. Disse elementer er hentet fra vores førende praksis, information sikkerhed og privatlivets fred rammer, og hændelser, der involverer oplysninger sikkerhedspolitikker. Organisationer kan bruge denne tjekliste til at vurdere modenhed af deres eksisterende oplysninger sikkerhedspolitikker.

1. Skriftlige Information Security Policy Dokumenter med Version Control

Selvom det forekommer indlysende, næsten hver informationssikkerhed standard og rammer specifikt kræver oplysninger sikkerhedspolitikker, der skal skrives. Da skriftlig information sikkerhedspolitikker definerer ledelsens forventninger og erklærede mål for beskyttelse af oplysninger, kan politik ikke være "underforstået" - men skal dokumenteres. At have en "skriftlig sikkerhedspolitik dokument" er den første centrale kontrol er etableret i den internationale standard ISO /IEC 1-7799: 2005 (ISO 27002), og er afgørende for at udføre både intern og ekstern revision. Men hvad er nogle karakteristika, der gør for en effektivt-skriftlig politik dokument?

2. Defineret Policy Document Ejerskab

Hver skriftlig information sikkerhedspolitik dokument skal have en defineret ejer eller forfatter. Denne redegørelse for ejerskab er uafgjort mellem de skriftlige politikker og anerkendelse af ledelsens ansvar for at opdatere og vedligeholde oplysninger sikkerhedspolitikker. Forfatteren giver også et kontaktpunkt, hvis nogen i organisationen har et spørgsmål om specifikke krav i hver politik. Nogle organisationer har skrevet oplysninger sikkerhedspolitikker, der er så out-of-date, at forfatteren ikke længere er ansat i organisationen.

3. Målrettede Brugergrupper for hver sikkerhedspolitik

Ikke alle oplysninger sikkerhedspolitikker er passende for hver rolle i virksomheden. Derfor bør skriftlig informationssikkerhed politiske dokumenter målrettes til specifikke målgrupper med organisationen. Ideelt set bør disse målgrupper tilpasse med funktionelle brugerroller i organisationen.

For eksempel kan alle brugere nødt til at gennemgå og erkende Internet acceptabel brug politikker. Imidlertid ville måske kun en delmængde af brugere blive bedt om at læse og anerkende et Mobile Computing Politik, der definerer de nødvendige for at arbejde hjemme eller på farten kontrol. Medarbejderne er allerede konfronteret med information overload. Ved blot at placere hver oplysning sikkerhedspolitik på intranettet og bede folk om at læse dem, er du virkelig spørge nogen til at læse dem.

4. Omfattende Information Security Topic Dækning

Da skriftlig information sikkerhedspolitikker giver en plan for hele sikkerhed program, er det afgørende, at de løse de vigtigste logiske, tekniske og ledelsesmæssige kontrol, der kræves for at mindske risikoen for organisationen. Eksempler omfatter adgangskontrol, brugergodkendelse, netværkssikkerhed, kontroller medier, fysisk sikkerhed, incident response og business kontinuitet. Mens den nøjagtige profil hver organisation er forskellige, kan mange organisationer se til lovkrav at definere sikkerhedspolitiske emne dækning for deres organisation. For eksempel skal medicinalvirksomheder i USA fat kravene i HIPAA, finansielle tjenesteydelser virksomheder skal tage lov om Gramm-Leach-Bliley (GLBA), mens organisationer, der lagrer og behandler kreditkort skal følge kravene i PCI-DSS.

5. En verificeret Policy Bevidsthed og Audit Trail

Sikkerhed politiske dokumenter vil ikke være effektiv, medmindre de er læst og forstået af alle medlemmer af målgruppen er beregnet til hvert dokument. For nogle dokumenter, såsom en internet Politik for acceptabel brug eller adfærdskodeks, målgruppen er sandsynligt hele organisationen. Hver sikkerhedspolitik dokument skal have en tilsvarende "revisionsspor", der viser, hvilke brugere har læst og anerkendt dokument, herunder datoen for bekræftelsen. Denne revisionsspor skal henvise til specifikke version af politikken, at registrere hvilke politikker blev håndhævet i hvilket tidsrum perioder.

6. En skriftlig information sikkerhedspolitik Undtagelse Proces

Det kan være umuligt for alle dele af organisationen til at følge alle de offentliggjorte oplysninger sikkerhedspolitikker på alle tidspunkter. Dette gælder især, hvis politikker udvikles af den juridiske eller informationssikkerhed afdeling uden input fra forretningsenheder. Snarere end forudsat der vil ikke være nogen undtagelser til politikken, er det at foretrække at have en dokumenteret procedure for anmodning om og godkendelse af undtagelser til politik. Skriftlige undtagelsesanmodninger bør kræve godkendelse af en eller flere ledere i organisationen, og har en defineret tidsramme (seks måneder til et år), hvorefter undtagelserne vil blive gennemgået igen.

7. Regelmæssig sikkerhedspolitik opdateringer for at reducere risikoen

Revisionsretten, regulatorer og føderale domstole har konsekvent sendt det samme budskab - Ingen organisation kan hævde, at det effektivt er formildende risiko, når det har en ufuldstændig, forældet sæt skriftlig redegørelse. Skriftlige sikkerhedspolitikker danner "blueprint" for hele informationssikkerhed program, og skal overvåges, revideret og opdateret et effektivt program baseret på en konstant skiftende erhvervsmiljø. For at hjælpe organisationer med denne vanskelige opgave, nogle virksomheder offentliggør et bibliotek af skriftlige oplysninger sikkerhedspolitikker, der opdateres regelmæssigt baseret på de nyeste trusler informationssikkerhed, lovgivningsmæssige ændringer og nye teknologier. Sådanne tjenester kan spare organisationer mange tusindvis af dollars opretholde skriftlige politikker
.