Seitsemän Avaimet tietoturvapolitiikka Development

Miten kypsä on tietoturvapolitiikka ohjelma? Onko sinulla joukko vanhentunut tallennettuja asiakirjoja sideaine tai intranet-sivuston? Vai onko sinulla dokumentoitu hallintaohjelma, joka pitää politiikan tasalla, käyttäjät ilmoittivat ja sisäiset tarkastajat nukkuu yöllä?

Tässä artikkelissa tarkastelemme seitsemän keskeisiä ominaisuuksia tehokkaan tietoturvapolitiikan hallintaohjelma. Nämä elementit on poimitaan meidän johtava käytännöistä, tietoturvan ja yksityisyyden puitteet, ja tapaukset, joissa tietojen turvallisuuspolitiikassa. Organisaatiot voivat käyttää tätä tarkistuslista arvioida maturiteetti nykyisiä tietoturvapolitiikat.

1. Kirjallinen Tietoturvapolitiikka Asiakirjojen versionhallinta

Vaikka se näyttää ilmeiseltä, lähes jokainen tietoturvastandardin ja puitteet erityisesti vaatii tietoturvapolitiikat kirjoitetaan. Koska kirjallista tietoturvan käytännöt määrittävät johdon odotukset ja asetettujen tavoitteiden suojaamiseksi tiedot, politiikkaa ei voi olla "implisiittinen" - mutta on dokumentoitava. Ottaa "kirjoitettu turvallisuuspolitiikka asiakirja" on ensimmäinen avain ohjaus sijoittautunut kansainvälisen standardin ISO /IEC 1-7799: 2005 (ISO 27002), ja on kriittinen suorittamista sekä sisäinen ja ulkoinen tarkastus. Mutta mitä ovat joitakin ominaisuuksia, jotka tekevät tehokkaasti kirjoitettu poliittinen asiakirja?

2. Määritellyt poliittiset Asiakirja Omistus

Jokainen kirjallinen tietoturvapolitiikka asiakirja olisi määriteltävä omistaja tai tekijä. Tämä toteamus omistuksen on tasan kirjalliset toimintaperiaatteet ja tunnustus johdon vastuu päivittämisestä ja ylläpitämisestä tietoturvapolitiikat. Kirjoittaja myös yhteyspiste jos joku organisaatiossa on kysymys erityisiä vaatimuksia kunkin politiikan. Jotkut järjestöt ovat kirjoittaneet tietoturvapolitiikat jotka ovat niin out-of-date, että kirjoittaja ei enää organisaation käyttämät.

3. Käyttäjäryhmät kunkin turvallisuuspolitiikan

Kaikkia tietoturvapolitiikat ovat asianmukaisia ​​jokaisen rooli yrityksen. Siksi, kirjallinen tietoturvapolitiikka asiakirjat olisi rajatuille kohderyhmille järjestön kanssa. Ihannetapauksessa nämä yleisöt olisi yhdenmukaistettava toiminnallinen käyttäjän rooleja organisaation sisällä.

Esimerkiksi kaikki käyttäjät ehkä tarkistaa ja tunnustaa Internetin käytön sääntöjä. Kuitenkin ehkä vain osa käyttäjistä olisi tarpeen lukea ja tunnustaa Mobile Computing politiikka, joka määrittelee valvonta tarvitaan työskentely kotona tai tien päällä. Työntekijät ovat jo edessä tietotulvaan. Yksinkertaisesti asettamalla jokainen tietoturvapolitiikkaa intranetissä ja pyytää ihmisiä lukemaan niitä, olet todella pyytävät kukaan lukea niitä.

4. Kattava tietoturva Aihe kattavuus

Koska kirjallinen tietoturvapolitiikka säätää suunnitelma koko turvaohjelma, on tärkeää, että ne käsitellään avain looginen, teknistä ja hallinnollista valvontaa tarvitaan vähentämään riskiä organisaation. Esimerkkejä ovat kulunvalvonta, käyttäjätunnistus, verkon turvallisuus, median valvontaa, fyysinen turvallisuus, Incident Response, ja liiketoiminnan jatkuvuuden. Vaikka tarkka profiilin kunkin organisaation on erilainen, monet organisaatiot voivat katsoa lakisääteisten vaatimusten määritellä turvallisuuspolitiikan aihe kattavuus niiden järjestämiseen. Esimerkiksi terveydenhuollon yritysten sisällä Yhdysvalloissa on käsiteltävä vaatimuksia HIPAA, rahoituspalvelut yritysten on käsiteltävä Gramm-Leach-Bliley lain (GLBA), kun taas järjestöt, jotka tallentavat ja prosessi luottokortteja on noudatettava vaatimuksia PCI-DSS.

5. Verified Politiikan Tietoisuus ja Audit Trail

Turvallisuuspolitiikka asiakirjoja ei ole tehokasta, ellei niitä ole lukenut ja ymmärtänyt kaikkien jäsenten kohdeyleisöä tarkoitettu kunkin asiakirjan. Joidenkin asiakirjat, kuten Internet käyttökäytännöksi tai käytännesäännöt, kohderyhmä on todennäköisesti koko organisaation. Jokainen turvallisuuspolitiikka asiakirjan pitäisi olla vastaavaa "audit trail", joka osoittaa, mitkä käyttäjät lukenut ja tunnustettu asiakirja, johon on merkitty kuittauksen. Tämä kirjausketju tulee viitata tietyn version politiikan, tallentaa joka politiikat olivat täytäntöön minkä aikajaksojen aikana.

6. Kirjallinen Tietoturvapolitiikka Poikkeus Process

Se voi olla mahdotonta jokaiselle osa organisaation seurata kaikki julkaistut tiedot tietoturvapolitiikan aina. Tämä pätee erityisesti, jos politiikkoja kehitetään oikeudellisia tai tietoturvan osasto ilman panosta liiketoimintayksiköissä. Pikemminkin kuin olettaen ei tule poikkeuksia politiikka, on edullista oltava dokumentoitu prosessi pyytämistä ja hyväksymisestä poikkeuksia politiikkaa. Kirjallinen poikkeuspyyntöjä olisi edellytettävä hyväksyntää yhden tai useamman johtajat organisaation sisällä, ja niillä on määrätty aikataulu (kuusi kuukautta vuodessa), jonka jälkeen poikkeuksia tarkastellaan uudelleen.

7. Säännöllinen turvallisuuspolitiikan päivitykset vähentää riskiä

Tilintarkastajat, sääntelyviranomaisten ja liittovaltion tuomioistuimet ovat johdonmukaisesti lähettänyt saman viestin - Mikään järjestö ei voi väittää tehokkaasti lieventää riskin, kun se on epätäydellinen, vanhentunut koskevia kirjallisia politiikkaa. Kirjallinen suojauskäytäntöjä muodostavat "suunnitelma" koko tietoturvan ohjelma, ja tehokas ohjelma on seurattava, tarkistettava ja päivitettävä perustuu jatkuvasti muuttuvassa liiketoimintaympäristössä. Auttaa organisaatioita kanssa tässä vaikeassa tehtävässä, jotkut yritykset julkaisevat kirjaston kirjallinen tietoturvapolitiikka, joita päivitetään säännöllisesti perustuvat viimeisimpään tietoturvauhkia, sääntelyn muutokset ja uudet teknologiat. Tällaiset palvelut voivat säästää järjestöjen tuhansia dollareita ylläpitää kirjallista politiikkaa.
.