組織經(jīng)常為各種需求創(chuàng)建多個(gè) IT 策略:災(zāi)難恢復(fù)����、數(shù)據(jù)分類�����、數(shù)據(jù)隱私�、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理等��。這些文件通常是相互關(guān)聯(lián)的�,并為組織提供了一個(gè)框架來設(shè)定價(jià)值以指導(dǎo)決策和響應(yīng)�����。
組織還需要信息安全策略。這種類型的政策提供的控制和程序有助于確保員工適當(dāng)?shù)厥褂?IT 資產(chǎn)��。本文解釋了創(chuàng)建信息安全策略的好處��、它應(yīng)該包含哪些元素以及成功的優(yōu)秀實(shí)踐��。
什么是信息安全政策���?
美國國家科學(xué)技術(shù)研究院 (NIST)將信息安全政策定義為“規(guī)定組織如何管理�、保護(hù)和分發(fā)信息的指令�����、法規(guī)�、規(guī)則和實(shí)踐的集合”。
由于組織具有不同的業(yè)務(wù)要求���、合規(guī)義務(wù)和人員配備��,因此沒有適用于所有人的單一信息安全策略���。相反����,每個(gè) IT 部門都應(yīng)該確定最能滿足其特定需求的策略選擇����,并創(chuàng)建一個(gè)由高級利益相關(guān)者批準(zhǔn)的簡單文檔。
信息安全策略有什么好處�?
出于以下原因,信息安全策略至關(guān)重要:
(1) 確保數(shù)據(jù)的機(jī)密性��、完整性和可用性
制定可靠的政策為識別和降低數(shù)據(jù)機(jī)密性�����、完整性和可用性風(fēng)險(xiǎn)(稱為CIA 三元組)提供了一種標(biāo)準(zhǔn)化方法�����,并提供了對問題作出響應(yīng)的適當(dāng)步驟��。
(2) 幫助將風(fēng)險(xiǎn)降至最低
信息安全策略詳細(xì)說明了組織如何發(fā)現(xiàn)�����、評估和緩解 IT 漏洞以阻止安全威脅���,以及在系統(tǒng)中斷或數(shù)據(jù)泄露后用于恢復(fù)的流程��。
(3) 在整個(gè)組織內(nèi)協(xié)調(diào)和執(zhí)行安全計(jì)劃
任何安全計(jì)劃都需要?jiǎng)?chuàng)建一個(gè)有凝聚力的信息安全策略���。這有助于防止出現(xiàn)分歧的部門決策,或者更糟的是�����,部門根本沒有政策��。該策略定義了組織如何識別不執(zhí)行有用安全功能的無關(guān)工具或流程���。
(4) 將安全措施傳達(dá)給第三方和外部審計(jì)師
編纂安全策略使組織能夠輕松地將其圍繞 IT 資產(chǎn)和資源的安全措施傳達(dá)給員工和內(nèi)部利益相關(guān)者�,還可以傳達(dá)給外部審計(jì)師����、承包商和其他第三方。
(5) 幫助組織合規(guī)
擁有完善的安全策略���,在國外對于組織通過HIPAA 和CCPA等安全標(biāo)準(zhǔn)和法規(guī)的合規(guī)性審核非常重要����,在我國則落實(shí)網(wǎng)絡(luò)安全等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等合規(guī)性非常重要。審計(jì)師通常會(huì)要求公司提供有關(guān)其內(nèi)部控制的文檔��,而信息安全政策可幫助組織證明執(zhí)行了所需的任務(wù)���,例如:
定期評估當(dāng)前 IT 安全策略的充分性
執(zhí)行風(fēng)險(xiǎn)評估以發(fā)現(xiàn)和緩解技術(shù)或工作流程中的漏洞
分析現(xiàn)有系統(tǒng)在數(shù)據(jù)完整性����、網(wǎng)絡(luò)安全方面的功效
在制定信息安全政策時(shí)�����,有哪些好的資源可供參考��?
制定信息安全策略可能是一項(xiàng)艱巨的任務(wù)��。以下框架提供了有關(guān)如何制定和維護(hù)安全策略的指南:
網(wǎng)絡(luò)安全等級保護(hù)—網(wǎng)絡(luò)安全等級保護(hù)是我國網(wǎng)絡(luò)安全領(lǐng)域的基本制度��、基本國策�。通過一套體系化的要求和實(shí)現(xiàn),確保網(wǎng)絡(luò)達(dá)到基線安全��。
COBIT — COBIT 專注于安全��、風(fēng)險(xiǎn)管理和信息治理�,對Sarbanes-Oxley (SOX) 合規(guī)性特別有價(jià)值��。
NIST 網(wǎng)絡(luò)安全框架——該框架提供與風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理的五個(gè)階段相一致的安全控制:識別�、保護(hù)����、檢測����、響應(yīng)和恢復(fù)。它通常用于水務(wù)���、交通和能源生產(chǎn)等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域�。
ISO/IEC 27000 — 來自國際標(biāo)準(zhǔn)組織的這個(gè)系列是最廣泛的框架之一�����。它可以適應(yīng)各種類型和規(guī)模的組織���,并針對特定行業(yè)設(shè)計(jì)了各種子標(biāo)準(zhǔn)�。例如���,ISO 27799 解決了醫(yī)療保健信息安全問題���,對于受HIPAA 合規(guī)性約束的組織非常有用�����。該系列中的其他標(biāo)準(zhǔn)適用于云計(jì)算��、數(shù)字證據(jù)收集和存儲(chǔ)安全等領(lǐng)域���。
此外,各種組織發(fā)布數(shù)據(jù)安全策略模板�����,可以對其進(jìn)行編輯以滿足需求�����,而不是從頭開始����。
信息安全政策的關(guān)鍵要素是什么?
一般而言����,信息安全策略應(yīng)包括以下部分:
(1) 目的:闡明安全策略的目的��。請務(wù)必確定該政策旨在幫助組織遵守的任何法規(guī)或法律�。
(2) 范圍:詳細(xì)說明屬于該策略的內(nèi)容�,例如計(jì)算機(jī)和其他 IT 資產(chǎn)、數(shù)據(jù)存儲(chǔ)庫����、用戶�����、系統(tǒng)和應(yīng)用程序��。
(3) 時(shí)間表:指定保單的生效日期�。
(4) 權(quán)威:確定支持政策的個(gè)人或?qū)嶓w,例如公司所有者或董事會(huì)�����。
(5)政策合規(guī)性:列出數(shù)據(jù)安全政策旨在幫助組織遵守的所有法規(guī)�,例如 HIPAA、SOX����、PCI DSS 或 GLBA���。
(6) 正文:描述每個(gè)領(lǐng)域的程序、過程和控制:
資產(chǎn)和信息分類和控制:描述如何按安全分類標(biāo)記數(shù)據(jù)并應(yīng)用控制以確保適當(dāng)?shù)臄?shù)據(jù)保護(hù)��。
信息保留:說明將如何存儲(chǔ)和備份數(shù)據(jù)�,并執(zhí)行保留時(shí)間表。
人員安全:有關(guān)人員事項(xiàng)的詳細(xì)安全程序���,例如保密協(xié)議和人員篩選���。
身份和訪問管理:描述有關(guān)用戶訪問、權(quán)限和密碼的管理策略�����。請務(wù)必注意基于用戶角色和職責(zé)的特殊要求�����,例如需要安全操作人員進(jìn)行強(qiáng)身份驗(yàn)證�����。本節(jié)還確定了網(wǎng)絡(luò)安全和應(yīng)用程序訪問控制,以及云安全�����。
變更管理和事件管理:定義響應(yīng)可能影響 IT 系統(tǒng)機(jī)密性��、完整性或可用性的變更的程序�。還要詳細(xì)說明針對安全隱患或系統(tǒng)故障的適當(dāng)事件響應(yīng)程序,以及負(fù)責(zé)這些任務(wù)的具體人員���。
可接受的使用政策:描述個(gè)人如何將組織的網(wǎng)絡(luò)�、互聯(lián)網(wǎng)訪問或設(shè)備用于商業(yè)和個(gè)人用途���。詳細(xì)說明不同群體的任何差異,例如員工��、承包商���、志愿者或公眾
防病毒和補(bǔ)丁管理:指定應(yīng)用防病毒更新和軟件補(bǔ)丁的程序�。
物理和環(huán)境安全:制定有關(guān)物理安全的信息安全標(biāo)準(zhǔn)��,例如上鎖的門和受控訪問區(qū)域�����。
通信和運(yùn)營管理:描述系統(tǒng)規(guī)劃和驗(yàn)收、內(nèi)容備份和漏洞管理等領(lǐng)域的運(yùn)營程序和職責(zé)�。
信息和軟件交換:概述與外部各方交換數(shù)據(jù)或軟件的適當(dāng)步驟。本節(jié)特別適用于與第三方合作或必須響應(yīng)客戶或第三方數(shù)據(jù)請求的組織��。確保符合隱私政策���。
加密控制:指定加密的必要用途以實(shí)現(xiàn)安全目標(biāo)���,例如加密電子郵件附件或存儲(chǔ)在筆記本電腦上的數(shù)據(jù)。
(7) 用戶培訓(xùn):描述用戶必須接受的安全意識和其他培訓(xùn)��,以及負(fù)責(zé)開發(fā)和實(shí)施培訓(xùn)的團(tuán)隊(duì)�����。
(8) 聯(lián)系人:指定負(fù)責(zé)創(chuàng)建和編輯信息安全策略文件的人員或團(tuán)隊(duì)���。
(9) 版本歷史:跟蹤所有政策修訂����。包括每次更新的日期和作者�����。
該遵循哪些最佳實(shí)踐來創(chuàng)建良好的安全策略?
遵循這些最佳實(shí)踐將幫助組織創(chuàng)建有效的信息安全策略:
獲得高管的支持。如果最高領(lǐng)導(dǎo)層簽署該政策��,該政策將更容易實(shí)施和執(zhí)行�����。
列出所有適當(dāng)?shù)陌踩ㄒ?guī)���。確保熟悉管理自己所在行業(yè)的所有法規(guī)�,因?yàn)樗鼈儠?huì)嚴(yán)重影響政策內(nèi)容����。
評估系統(tǒng)、流程和數(shù)據(jù)�。在起草文件之前�,請先熟悉貴組織當(dāng)前的系統(tǒng)、數(shù)據(jù)和工作流程����。這將需要與業(yè)務(wù)伙伴密切合作。
為組織定制策略�。確保該政策與組織的需求相關(guān)����;〞r(shí)間澄清政策的目標(biāo)并確定其范圍�。
識別風(fēng)險(xiǎn)�����。要概述適當(dāng)?shù)娘L(fēng)險(xiǎn)應(yīng)對程序����,組織必須識別潛在風(fēng)險(xiǎn)。許多組織通過風(fēng)險(xiǎn)評估來做到這一點(diǎn)��。
對新的安全控制持開放態(tài)度��。根據(jù)識別的風(fēng)險(xiǎn)�,組織可能需要采用新的安全措施。
徹底記錄程序����。信息安全政策的許多方面都依賴于它所描述的程序。有時(shí)����,員工已經(jīng)在執(zhí)行這些工作流程�,因此這一步只需將它們寫下來����。在任何情況下,都要測試這些程序以確保它們是準(zhǔn)確和完整的�。
教育培訓(xùn)。僅作為文檔存在的策略無法實(shí)現(xiàn)信息安全����。確保所有員工都接受有關(guān)安全政策內(nèi)容和合規(guī)實(shí)踐的培訓(xùn)。
常問問題
(1) 什么是安全策略��?
安全策略是一份書面文件��,它為使用IT資產(chǎn)和資源的個(gè)人確定組織的標(biāo)準(zhǔn)和程序���。
(2) 為什么安全策略很重要��?
安全策略對于解決信息安全威脅和制定減輕IT安全風(fēng)險(xiǎn)的策略和程序是必要的�����。
(3) 好的安全策略的關(guān)鍵組成部分是什么?
強(qiáng)大的 IT 安全策略的基礎(chǔ)是對組織 IT 安全計(jì)劃目標(biāo)的清晰描述���,包括所有適用的合規(guī)標(biāo)準(zhǔn)�。該政策還將詳細(xì)說明組織將用于正確管理、保護(hù)和分發(fā)信息的流程和控制�����。
(4) 最常見的安全策略失敗是什么���?
最常見的失敗點(diǎn)是用戶對策略內(nèi)容缺乏認(rèn)識����。如果沒有適當(dāng)?shù)挠脩襞嘤?xùn)和執(zhí)行��,即使是最好的安全策略也會(huì)產(chǎn)生錯(cuò)誤的安全感�����,從而使關(guān)鍵資產(chǎn)面臨風(fēng)險(xiǎn)����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
