Avevo un'altra domanda in mente, ma pensavo che avrei dovuto chiederlo prima.
Sfondo:
Ovunque sono stato in passato ho usato un'architettura di policy a livelli. Quello che voglio dire è che esiste una politica di sicurezza delle informazioni globale, con dichiarazioni generali sulla posizione della società su ciascuno degli argomenti applicabili di InfoSec. Subsection on Access Controls: Logical access controls must be instituted and enforced on
Sotto quello avresti molti Tier 2, politiche specifiche per argomento, con affermazioni più specifiche sull'argomento. Statement in the Password Policy: Strong passwords must be used to secure all company IT systems.
Infine, nell'ambito delle politiche di Livello 2 c'erano standard, processi e procedure con indicazioni specifiche sull'implementazione. Statement in Password Standards document: Windows passwords must be at least 16 characters long.
Questa struttura ha senso per me. È più facile da capire, più facile da mantenere e più facile da applicare.
Recentemente ho iniziato a lavorare in una nuova società come Information Security Engineer. Quello in cui sono entrato è, per dirla con delicatezza, non all'altezza di questo standard. Sono stato incaricato di raccogliere i pezzi per così dire, e mi è stato dato un documento per iniziare con quelle teste più in basso lungo la pista sbagliata. Ho passato un po 'di tempo a esaminare le politiche attuali, e in sostanza ho ri-architettato la politica di sicurezza delle informazioni in una struttura a più livelli, ho riscritto una bozza della politica IS e alcune politiche di secondo livello come esempi. Ho inviato le bozze per la revisione, e il feedback che ho ricevuto sta cercando di ridiscendere il percorso di una politica da parte di un behemoth General Controls, cercando di riportare le dichiarazioni e i processi degli standard in un documento politico. Inutile dire che è stato un po 'frustrante.
Domanda
La mia domanda è quali sono i pro e i contro nell'usare un'architettura di policy di sicurezza delle informazioni su più livelli rispetto a una politica che comprende tutti i criteri?
Ho le mie opinioni su entrambi i metodi e, ovviamente, preferisco una via sull'altra. Ma mi rendo anche conto che la mia opinione si basa sulle esperienze passate, quindi forse non vedrò la luce dell'altro modo.
Aggiornamento
Non sono così concentrato sul perché dovresti dividere le politiche da processi, standard e procedure, che comprendo e riesco ad articolare bene. Sono più alla ricerca di pro e contro di molte politiche compatte e mirate rispetto a una politica ampia e onnicomprensiva. Ho aggiornato la domanda di conseguenza.