Siamo tenuti a scrivere una "politica di sicurezza delle informazioni" per la nostra azienda, e voglio sapere quanto dovremmo coprire, e se ci sono modelli o esempi che potrebbero aiutare.
Fare riferimento al manuale CISSP sulle politiche di sicurezza, fare anche riferimento a tutti i domini di sicurezza che coprono in quanto dovrebbero far parte della vostra politica (ad alto livello). Ci sono anche risorse come SANS che può fornirti una guida. Controlla anche questo documento di GIAC che copre ciò che una buona politica di sicurezza copre .
Il documento che scriverai sarà la politica di riferimento, significa che coprirà un alto livello di requisiti per dominio di sicurezza. Ogni dominio dovrebbe quindi implementare la sicurezza in uno standard agnostico tecnologico (che copre dettagli specifici sul dominio) e quindi una linea base specifica per la tecnologia. Per esempio. uno standard di rete è implementato in una linea di base per Cisco IOS Routing, Cisco IOS Switching, Juniper Routers, ...
Immagino che quello a cui stai pensando sia che ci sono diversi standard di conformità che menzionano specificamente l'esistenza di una "politica di sicurezza delle informazioni". Si tratta in genere di un documento di alto livello che copre i principi di sicurezza delle informazioni a cui l'organizzazione si è abbonata ed è stato firmato dal consiglio di amministrazione / CEO per indicare il proprio impegno ad affrontare i problemi di sicurezza delle informazioni. Viene anche utilizzato per formare la base di politiche di livello inferiore che dovrebbero implementare specifiche dei principi esposti nel documento di livello superiore.
In termini di ottenere alcuni esempi per questo tipo di cose, ti consiglio di guardare la serie di documenti ISO27000 e le persone che offrono servizi in questo senso, poiché in genere la politica di Infosec farà parte di qualsiasi set di documentazione ISO27001.
Qualcosa come questo mostra il tipo di contenuto che di solito vedrebbe in quel tipo di documento, anche se le specifiche dipendono dalla tua organizzazione / industria ecc.
link Sans ha un buon set di modelli.
Per quanto riguarda cosa / quanto coprire. Per la prima versione attenersi a qualcosa di molto semplice. Ottenere qualcosa che può essere seguito è più importante della copertura del 100%. Ricorda che questo documento è vivo e aggiornabile.
Inizia con i 5 W come fanno i reporter: chi, cosa, dove, quando, perché. A chi si applica questa politica? (Dipendenti, appaltatori, ospiti, ecc ...) A cosa si applica questa politica? (desktop, server, servizi, byod, ecc ...) Dove viene applicata questa politica? (Che posizione fai affari tra cui siti di DR, strutture di hosting, ecc ...) Quando viene applicata questa politica? (è la finestra temporale, è imposta per i dipendenti dall'inizio fino a quando lasciano il lavoro, se hanno dispositivi mobili quali polizze si estendono dopo ore, ecc ...) Perché questa politica esiste? (Questo dovrebbe essere il primo, ma esponete il motivo della politica, un processo di revisione per la politica, chi lo possiede e un periodo di revisione obbligatorio. Suggerisco ogni anno se non necessario prima).
Leggi altre domande sui tag corporate-policy