Quali sono i problemi più importanti da includere nella politica di sicurezza aziendale?

Punti chiave:

Dovrebbe delineare l'accettazione / appetito della sicurezza dell'organizzazione in modo che gli standard che supportano la politica possano essere definiti nell'ambiente corretto.

Ha anche bisogno di definire responsabilità, proprietà e sponsorizzazione.

Aggiornato solo per fornire alcuni esempi, come ho lasciato questa bella luce. Ad alto livello si dovrebbe avere le politiche minime per consentire di misurare, comprendere e regolare il rischio di tecnologia. Questi saranno anche richiesti da una prospettiva di governance in molti ambienti -

• Politica di sicurezza delle informazioni
• Politica di classificazione delle informazioni
• Norme di utilizzo accettabile
• Politica di conservazione dei dati
• Norme sulla protezione dei dati
• Politica di valutazione del rischio

Probabilmente vorrai anche considerare quanto segue se offri servizi o prodotti a organizzazioni più grandi, poiché possono eseguire uno schema di governance che include le loro terze parti -

• Responsabilità aziendale e sociale Politica
• Politica ambientale
• Politica sulle pari opportunità

Nel Regno Unito è necessario definire i requisiti di protezione dei dati in relazione al Data Protection Act 1998. Si dovrebbe anche costruire la propria policy policy tenendo conto della famiglia di standard ISO27001, come molti audit di sicurezza e valutazioni per il regolatore e per il Il pezzo di revisione legale dei conti IT è strutturato intorno al 27001.

Una politica di sicurezza aziendale dovrebbe essere breve, facile da leggere e in termini generali. Dovrebbe essenzialmente elencare quali sono le minacce ei rischi complessivi per l'azienda e l'approccio generale per mitigarli.

Ad esempio, se si ha un'azienda il cui valore è nei dati archiviati in un database, una politica di sicurezza aziendale può indicare che il database deve essere protetto con controlli di sicurezza a più livelli, inclusi controlli di accesso alla rete e controlli di crittografia e forse che i dati sensibili dovrebbero essere archiviati in sistemi che esistono sotto stretto controllo delle modifiche.

L'implementazione di questi dettagli dipenderà più specificatamente dal sistema stesso e dalle tecnologie standard scelte dal business e quindi dovrebbe essere dettagliata nella documentazione di livello inferiore.

Sono d'accordo con i commenti di cui sopra - la politica "giusta" dipende in gran parte dalla tua organizzazione.

Tuttavia, potrebbe essere utile rivedere la serie ISO / IEC 27000, che è un insieme di standard per la gestione della sicurezza delle informazioni spesso adottato da organizzazioni IT di grandi dimensioni ( link , link ).

Ad esempio, 27002 è un "codice di pratica" che copre cose come:

• Valutazione e trattamento del rischio
• Politica di sicurezza
• Organizzazione della sicurezza
• Classificazione e controllo degli asset
• Sicurezza del personale
• Sicurezza fisica e ambientale
• Gestione delle comunicazioni e delle operazioni
• Controllo di accesso
• Sviluppo e manutenzione del sistema
• Gestione degli incidenti di sicurezza delle informazioni
• Gestione della continuità operativa
• Compliance

Anche se non lo adotti completamente, inizierei con quello standard per sviluppare una tabella dei contenuti per la tua politica.

Dipende: quali sono i maggiori rischi per la tua azienda? La politica di sicurezza non dovrebbe riguardare il mandare un anti-virus perché tutti i ragazzi fantastici hanno un antivirus, dovrebbe capire quali minacce è più importante che tu mitighi e definire una strategia (anche se non tattiche ) per eseguire tale mitigazione.