一、安全政策框架(Security policy framework)
我们需要明确的书面指导,以帮助与业务领导人和用户以及彼此就安全期望和责任进行沟通。在某些情况下,我们制定了组织中每个人都必须遵守的强制性规则,而在其他情况下,我们只是提供建议。这些角色中的每一个都需要稍微不同的沟通。这就是安全政策框架发挥作用的地方。大多数安全专家认识到一个由四种不同类型的文件组成的框架:政策、标准、指南和程序(Policies, Standards, Guidelines, and Procedures)。
-
安全政策是为一个组织的信息安全计划提供基础的基石文件。 它们通常是在很长一段时间内制定的,并且是非常仔细地描述一个组织的安全期望。对政策的遵守是强制性的,政策通常由一个组织的最高层批准。由于制定安全政策的严格性,作者应努力将政策写得经得起时间的考验。例如,像所有敏感信息必须用AES-256加密或将所有员工记录存放在226房间这样的声明不合规的政策声明。如果组织更换了加密技术或更改了记录室,就会照成不好的后果。相反,政策可以做出这样的声明:敏感信息必须使用IT部门批准的技术在存储状态和传输过程中进行加密,而员工记录必须存储在人力资源部门批准的地点。
-
安全标准规定了组织必须遵循的安全控制的具体细节。 一个组织的安全政策很可能包括赋予IT部门创建和执行标准的权力的具体声明。标准包括诸如公司批准的加密协议、记录存储位置、配置参数以及其他技术和操作细节的地方。即使这些标准可能不会像政策那样经过严格的程序,对它们的遵守仍然是强制性的。当涉及到复杂的配置标准时,企业往往借鉴行业基准,如互联网安全中心提供的安全配置指南。
这些安全标准为各种各样的操作系统、网络基础设施设备、应用平台、网络服务器和IT基础设施的其他组件提供了详细的配置设置。它们为一个组织自己的安全标准提供了一个很好的起点。一些组织按原样使用这些标准,而另一些组织则在采用这些标准时稍作定制,或者在制定自己的定制安全标准时简单地将其作为参考。 -
供应商也为他们自己的产品提供详细的配置指南。网络安全专业人员应与他们组织中使用的供应商协商,以确定有哪些指南可用和合适。指南是安全专业人员向组织的其他部分提供建议的地方,包括信息安全的最佳实践。例如,指南可能建议员工在有无线网络的情况下使用加密的无线网络。在某些情况下,旅行的员工可能无法访问加密的网络,所以他们可以使用VPN连接来弥补这一缺陷。我们需要记住的是,指导方针是建议,并不是强制性的。
-
程序是员工在执行特定安全任务时可以遵循的分步指示。例如,组织可能有一个激活事件响应小组的程序,包括向小组成员发送紧急短信提醒,激活视频会议,并通知高级管理层。根据组织和程序的类型,程序步骤可能是强制性的或可选的。
具体来说,请记住,遵守政策和标准总是强制性的;指导总是选择性的;而遵守程序则可以有两种选择,这取决于组织的情况。
二、安全政策(Security policies)
政策是任何信息安全计划的基础,而拥有强有力的数据安全政策是我们保护信息的努力的一个关键组成部分。数据、安全政策和程序在一个组织中扮演着几个重要的角色。无论政策或程序涉及什么具体问题,它都应该满足几个关键标准:
- 政策为数据安全工作提供了基础的权威性(Foundational authority),为你的工作增加了合法性,并在需要时确保合规;
- 它们还为参与数据安全的每个人提供了明确的期望(Clear expectations),解释了哪些数据必须得到保护以及应该用来保护这些数据的控制措施;
- 政策提供了在为业务目的请求访问数据时应遵循的指导(Guidance);
- 还提供一个例外程序(Exception process),以便在必要时正式请求政策例外,以满足业务要求。
如下是数据安全政策在遵循刚才描述的原则后应该涵盖的几个关键问题:
1.数据存储安全政策(Data Storage Policy)
数据存储是安全政策的一个关键组成部分。数据存储政策应该向用户解释不同分类级别的数据的适当存储位置。例如,一项政策可能会限制使用云存储解决方案来存储高度敏感的信息。它们还应该包括对存储信息的访问控制要求,包括我们用来获得数据访问的过程,以及用来执行访问控制的机制。政策还有应该为不同分类级别和不同存储环境的信息提供加密要求。例如,一个组织可能允许未加密的信息存储在位于他们自己的数据中心的硬盘上,但可能要求对所有其他存储位置进行加密,如云服务或员工的笔记本电脑。
2.数据传输政策(Data Transmission Policy)
数据传输政策保护传输中的数据。数据在网络上传输时尤其脆弱,因为它很容易受到窃听攻击。因此,数据传输政策应涵盖哪些数据可以在不同类型的网络上传输,以及在何种授权下传输。它们还应该描述使用加密技术来保护在公共和私人网络上传输的信息,以及敏感信息的适当传输位置,例如未经特别许可可能离开公司网络的信息类型。
3.数据生命周期政策(Data Lifecycle Policy)
最后,数据生命周期政策为信息的生命终结过程提供了重要指导。这一点很重要,因为即使在组织不再需要信息之后,信息仍可能保持敏感性。数据生命周期政策应该至少要求解决两个重要问题。
首先,数据保留政策(Data Retention Policies)应该描述一个组织将保留不同的数据元素多长时间。这可能包括一个最短的保留期,如保留所有与税收有关的记录7年。它还可能包括一个最长保留期,例如,客户的信用卡信息只应保留完成交易所需的时间。数据保留政策通过确保数据被保留到需要的时间,而不是更长的时间来限制一个组织的风险暴露。这些政策影响硬件和人员,并应同样适用于电子和纸质记录。
数据丢弃政策(Data Disposal Policies)还应该包括对数据的正确处置,包括在扔掉、回收或以其他方式丢弃之前,用于安全地擦除硬盘、闪存驱动器和其他存储介质的擦除技术。 由于数据残留问题,这一点极为重要。简单地删除文件或格式化硬盘,并不足以从设备中删除所有的数据痕迹。安全管理员应该使用专门的工具来安全地擦除存储设备,并防止将来检索被认为是被删除的信息。
4.与云相关的政策
在云计算的世界里,安全政策具有特殊的重要性。政策、指南和标准应向用户提供明确的指导,说明哪些信息可以在云中存储和处理。这些政策还应该清楚地描述组织在选择审查和批准新的云服务使用时将遵循的程序。
6690
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
