Dominio dei rapporti sugli incidenti o sulla politica di notifica?

4

Sto scrivendo una politica aziendale su come i dipendenti devono gestire i report di eventi relativi alla sicurezza delle informazioni e notifiche provenienti da fornitori, clienti e persone all'interno della nostra organizzazione.

per es.

  1. Se un cliente chiama e dice che i suoi dati sono stati compromessi e dobbiamo dare la colpa a
  2. Qualcuno riceve e-mail non richieste o sospette dal nostro dominio.
  3. Strane finestre a comparsa sulle workstation
  4. ecc.

Nota: non disponiamo ancora di una politica di risposta agli incidenti o di informazioni sulla sicurezza.

La mia domanda è se questo tipo di documento sia una politica a sé stante o una parte di una politica di sicurezza delle informazioni o di una politica di risposta agli incidenti più ampia. Attualmente la definisco una "Politica di segnalazione della sicurezza delle informazioni". Questo rientra nell'ambito di una politica di sicurezza delle informazioni o di politica di risposta agli incidenti o potrebbe andare in qualsiasi modo o non importa fino a quando è scritto, chiaro, compreso e seguito.

Volevo un semplice documento di una sola pagina che potesse essere passato agli utenti attraverso un nuovo corso di formazione o da H.R ..

Fondamentalmente afferma ...

  1. Tipo di documento di problema e descrizione
  2. Chi ha segnalato? Richiedi informazioni di contatto (nome, telefono, e-mail) e acconsenti ad essere contattato da personale o amministratore della sicurezza
  3. Data e ora dell'occorrenza del documento
  4. Se applicabile alla situazione chiedi sistema operativo, browser, A / V, uso di firewall, uso della rete wireless ecc.
  5. Come e chi segnalare a (intensificare)

Qualcun'altro dovrebbe essere menzionato, rimosso o modificato? Questo suona ragionevole, cosa stai pensando?

Grazie Jon

    
posta jonschipp 21.03.2013 - 17:19
fonte

2 risposte

2

Stai descrivendo una procedura (ad esempio "come si fa X"), non una politica ("Do X"). In quanto tale, il nome della procedura non ha molta importanza. Ciò che importa è che fa riferimento ed è supportato da una o più politiche di livello superiore.

Una politica di sicurezza delle informazioni dovrebbe coprire molto più di ciò che hai descritto; Sarei molto riluttante a intitolare la procedura "Information Security Policy" - sarebbe come etichettare la tastiera "My computer". L'esempio è intenzionalmente esagerato, ma se la tua azienda è stata sottoposta ad audit e gli auditor hanno trovato il tuo one-page come unico documento denominato "Information Security Policy", avresti implicitamente autorizzato tutte le azioni non coperte da tale politica. (Non so se la tua azienda è soggetta a verifiche. Hai incluso un tag pci che mi fa credere che sia una possibilità).

Generalmente la politica di sicurezza delle informazioni include la politica di risposta agli incidenti. Le procedure sono scritte per implementare le politiche.

    
risposta data 22.03.2013 - 13:55
fonte
1

Chiamando la politica di risposta agli incidenti si dà più peso. Laddove possibile, automatizza il processo di raccolta dei dati in background (data / ora, sistema operativo, ecc.) Se prevedi di utilizzarlo internamente.

Se ho capito bene, il documento gestisce sia gli incidenti del cliente che quelli sul posto di lavoro. I due non dovrebbero essere separati? Quindi uno potrebbe essere una politica e l'altra parte di una politica.

Entrambi i titoli sono buoni. La politica di sicurezza delle informazioni sarebbe più adatta per un documento interno, mentre la risposta agli incidenti si adatta alle politiche orientate al cliente. Ma non importa un po 'finché è correttamente seguito e compreso (e periodicamente ricordato a esso).

    
risposta data 22.03.2013 - 13:09
fonte

Leggi altre domande sui tag