Syv nøkler til Information Security Policy Development

Hvor modne er informasjonen sikkerhetspolitikk program? Har du et sett med utdaterte dokumenter som er lagret i en perm eller intranettside? Eller har du en dokumentert management program som sørger for at retningslinjene oppdatert, brukerne informert og interne revisorer sove om natten?

I denne artikkelen vi gjennom syv viktigste kjennetegnene ved en effektiv informasjon sikkerhetspolitikk management program. Disse elementene er hentet fra våre ledende praksis, informasjonssikkerhet og personvern rammeverk, og hendelser med informasjon sikkerhetspolitikk. Organisasjoner kan bruke denne sjekklisten for å vurdere modenhet av sine eksisterende informasjon sikkerhetspolitikk.

1. Skriftlig informasjon Sikkerhetspolicy dokumenter med versjonskontroll

Selv om det synes opplagt, nesten hver informasjonssikkerhet standard og rammeverk krever særskilt informasjon sikkerhetspolicyer å bli skrevet. Siden skriftlig informasjon sikkerhetspolicyer definere ledelsens forventninger og uttalte mål for å beskytte informasjon, kan politikken ikke være "implisitt" - men må dokumenteres. Å ha en "skrevet sikkerhetspolitikk dokument" er den første nøkkelen kontroll etableres innenfor den internasjonale standarden ISO /IEC 1-7799: 2005 (ISO 27002), og er kritisk til å utføre både interne og eksterne revisjoner. Men hva er noen egenskaper som gjør for en effektiv skrevne policy-dokument?

2. Definert Regler Document Eierskap

Hver skriftlig informasjon sikkerhetspolitiske dokumentet skal ha en definert eier eller forfatter. Denne uttalelsen av eierskap er uavgjort mellom de skriftlige retningslinjer og anerkjennelsen av ledelsens ansvar for oppdatering og vedlikehold av informasjon sikkerhetspolitikk. Forfatteren gir også et kontaktpunkt hvis noen i organisasjonen har et spørsmål om spesifikke krav til hver policy. Noen organisasjoner har skriftlig informasjon sikkerhetspolitikk som er så out-of-date at forfatteren er ikke lenger ansatt i organisasjonen.

3. Målrettede Brukergrupper for hver sikkerhetspolitikk

Ikke alle opplysninger sikkerhetspolicyer er aktuelle for hver rolle i selskapet. Derfor bør skriftlig informasjon sikkerhetspolitiske dokumenter være rettet mot bestemte målgrupper med organisasjonen. Ideelt sett bør disse målgruppene justere med funksjonelle brukerroller i organisasjonen.

For eksempel kan alle brukerne trenger for å gjennomgå og erkjenne Internett akseptabel bruk politikk. Men ville kanskje bare en undergruppe av brukerne være nødvendig å lese og erkjenne et Mobile Computing politikk som definerer kontrollene som kreves for å jobbe hjemme eller på reise. Ansatte er allerede møtt med informasjon overbelastning. Ved ganske enkelt å plassere hver informasjon sikkerhetspolitikk på intranett og ber folk om å lese dem, er du egentlig spør ingen til å lese dem.

4. Omfattende Information Security Topic Dekning

Siden skriftlig informasjon sikkerhetspolicyer gi blåkopi for hele sikkerhetsprogram, er det avgjørende at de ta opp de viktigste logisk, tekniske og ledelseskontroller som kreves for å redusere risiko for organisasjonen. Eksempler er adgangskontroll, brukerautentisering, nettverkssikkerhet, mediekontroller, fysisk sikkerhet, hendelsen respons, og kontinuitet. Mens den eksakte profilen til hver organisasjon er forskjellig, kan mange organisasjoner se til myndighetskrav for å definere sikkerhetspolitisk tema dekning for deres organisasjon. For eksempel må helsetjenester selskaper i USA imøtekomme kravene fra HIPAA, finansielle tjenester selskaper må adressere Gramm-Leach-Bliley Act (glba), mens organisasjoner som lagrer og prosessen kredittkort må følge kravene i PCI-DSS.

5. En bekreftet Regler Awareness and Audit Trail

Sikkerhet politiske dokumenter vil ikke være effektiv med mindre de blir lest og forstått av alle medlemmer av målgruppen beregnet for hvert dokument. For enkelte dokumenter, for eksempel en Internett-godkjent bruk eller Code of Conduct, er målgruppen sannsynligvis hele organisasjonen. Hver sikkerhetspolitiske dokumentet bør ha en tilsvarende "revisjonsspor" som viser hvilke brukere som har lest og erkjent dokumentet, herunder dato for bekreftelse. Denne revisjonsspor bør referere til spesifikke versjonen av politikken, for å registrere hvilken politikk ble håndhevet der tiden perioder.

6. En skriftlig informasjon sikkerhetspolitikk Unntaks Process

Det kan være umulig for alle deler av organisasjonen for å følge alle de publiserte informasjonen sikkerhetspolitikk til enhver tid. Dette gjelder spesielt hvis politikk er utviklet av den juridiske eller informasjonssikkerhet avdeling uten innspill fra forretningsenheter. Snarere enn forutsatt at det ikke vil være noen unntak til politikk, er det best å ha en dokumentert prosess for å be om og godkjenne unntak fra politikken. Skriftlige forespørsler om unntak skal godkjennes av en eller flere ledere i organisasjonen, og har en definert tidsramme (seks måneder til ett år) etter som unntakene vil bli gjennomgått på nytt.

7. Regelmessig Security Policy oppdateringer til å redusere risikoen

Revisorer, regulatorer og føderale domstoler har konsekvent sendt samme melding - Ingen organisasjon kan påstå at det er effektivt å dempe risiko når det har en ufullstendig, utdatert sett av skriftlige retningslinjer. Skriftlige sikkerhetspolitikk danner "blåkopi" for hele informasjonssikkerhet program, og et effektivt program må overvåkes, gjennomgått og oppdatert basert på en stadig skiftende forretningsklima. For å hjelpe organisasjoner med denne vanskelige oppgaven, noen selskaper publisere et bibliotek av skriftlige informasjon sikkerhetspolicyer som blir oppdatert jevnlig basert på den nyeste informasjonen sikkerhetstrusler, regulatoriske endringer og nye teknologier. Slike tjenester kan spare organisasjoner mange tusen dollar opprettholde skriftlige retningslinjer
.