Politica d'uso accettabile (AUP) è un insieme di vincoli e pratiche che gli utenti devono accettare e firmare per accedere alla rete aziendale, agli endpoint, alle applicazioni e a Internet.
La politica di sicurezza delle informazioni è una dichiarazione su come l'organizzazione prevede di proteggere le risorse fisiche e informatiche dell'azienda (IT) dell'azienda.
Quindi AUP fa parte della politica di infosec?
In breve 'Sì'.
Ad esempio, PCI-DSS definisce una politica di sicurezza come "Insieme di leggi, regole e pratiche che regolano il modo in cui un'organizzazione gestisce, protegge e distribuisce le informazioni sensibili" e come tale include tutte le (sotto) politiche di sicurezza che possono essere specifico per diverse tecnologie, pratiche e AUP.
C'è qualche disaccordo sul termine politica di sicurezza con alcune organizzazioni che utilizzano questo termine specifico per riferirsi a una breve dichiarazione (di solito inferiore a una pagina) sulla posizione dell'organizzazione e sulla sicurezza, cioè una sorta di dichiarazione di sicurezza .
Per la maggior parte delle organizzazioni, tuttavia, una AUP è una parte fondamentale della politica di sicurezza nel suo insieme, così come la politica di "crittografia dei dati in sosta e in transito" e la "politica di gestione delle modifiche del firewall" e la "rete e politica di audit e test dei servizi, ecc. ecc.
I due concetti sono correlati, ma distinti. Una politica di sicurezza è in genere un po 'dettagliata e va in profondità oltre a ciò di cui ogni utente deve preoccuparsi. Tuttavia, non tutti gli aspetti dell'AUP sono concetti di sicurezza; per esempio, l'AUP della mia scuola ha una linea che vieta l'uso della rete per suggerire l'approvazione della scuola di un candidato politico, tranne quando è stato approvato dall'ufficio del consiglio generale. Le AUP sono politiche legalistiche intese a governare condurre sul sistema; questo va ben oltre la protezione del sistema IT e la protezione dell'organizzazione stessa.
Ora, in alcuni punti l'ufficio per la sicurezza delle informazioni è anche responsabile della conformità alle norme e alle normative, poiché le idee sono spesso intrecciate. Ma le AUP non sono intrinsecamente parte della politica di sicurezza, perché non sono progettate principalmente per proteggere l'integrità dei sistemi IT; devono imporre una condotta accettabile anche se non comporta alcun rischio per la sicurezza dell'organizzazione e non comporta alcun rischio in termini di riservatezza, integrità o disponibilità.
Leggi altre domande sui tag corporate-policy