首页
酷软
游戏
媒体
- 电影
- 剧集
- 动画
- 记录
- 综艺
- MV
- 有声世界
云资源
源码
更多
- 文库
- 系统
- web
- 站长帮
- 玩电脑
- 玩游戏
- 玩手机
- 涨姿势
- 玩软件
- 云图志
- 看漫画
- 微读书
- PS玩家
- 网文网语
- 硬件数码
- 编程开发
- 神秘之旅
- 福利线报
- 商业资源
- 网赚相关
- 健康加油站
赞助专区
云盘专区
资源阁
缘聚岛
BT种子库

[玩转系统] 什么是信息安全政策？

作者：精品下载站日期：2024-12-14 08:17:03 浏览：15 分类：玩电脑

什么是信息安全政策？

信息安全策略 (ISP) 可以说是组织可以拥有的最重要的网络安全策略。本质上，ISP 定义了用于识别、评估、减轻安全威胁和从安全威胁中恢复的协议和程序。 ISP 以数据为中心，其主要目标是保护数据的机密性、完整性和可用性（称为 CIA 三合一）。 ISP 将涵盖广泛的领域，包括访问控制、数据分类、安全意识培训以及员工（和其他相关利益相关者）在与关键资产交互时必须遵循的协议。

信息安全策略的好处

IT 环境变得越来越复杂和分散，许多员工现在远程工作。在这种环境中，需要采用标准化、统一和协调的方法来减轻和管理安全事件。 ISP 可以更轻松地与员工、承包商、审计员和其他相关利益相关者就现有安全措施进行沟通，并确保他们接受必要的安全意识培训。拥有 ISP 还可以让您更轻松地遵守适用于您所在行业的法规，其中可能包括 HIPAA、GDPR 或 CCPA。审计员通常会请求访问组织有关其已实施的安全控制的文档，并能够证明他们知道自己拥有哪些数据、数据位于何处以及谁有权访问这些数据。

有信息安全策略模板吗？

不幸的是，没有一种万能的 ISP，因为不同的组织有不同的需求。他们有不同的商业模式，员工有不同的技能，而且合规义务因行业而异。也就是说，有许多可用的框架可以为如何开发 ISP 提供有用的指导。两个最流行的框架是 ISO/IEC 27000 和 NIST 网络安全框架，这两个框架都提供了如何识别、保护、检测、响应安全事件和从安全事件中恢复的指导。然而，对于 Sarbanes-Oxley (SOX) 涵盖的组织来说，COBIT 等框架可能是更好的选择。同样，追求 HIPAA 合规性的组织最好研究 ISO 27799。或者，一些组织发布其 ISP 模板，您可以相应地查看和自定义这些模板。

信息安全政策的关键要素

如前所述，设计 ISP 并没有固定的方法，而且值得注意的是，ISP 将涵盖网络安全的几乎所有领域，我相信您会同意，这是一个非常广泛的主题。也就是说，所有 ISP 都将包含某些关键元素。

介绍

目的：列出您需要 ISP 的原因。在大多数情况下，这是为了...

保护数据的机密性、完整性和可用性
创建统一的方法来减轻和管理安全事件
证明遵守相关监管机构的规定
提高/保护您组织的声誉

范围：创建 ISP 范围内的所有系统、资产、用户、业务伙伴和应用程序的列表。

相关人员：列出参与 ISP 设计和实施的所有管理人员和工作人员及其联系信息。

身体

数据的收集和保留：解释您将收集哪些数据、如何收集、为什么收集以及收集多长时间。您还需要提供有关数据存储方式、使用的加密方法以及备份数据的方式的简要摘要。

数据分类：解释您的数据是如何分类的。最简单的数据分类模式是公共、私有和受限。然而，许多公司更喜欢选择更复杂的架构来反映其公司的结构。

访问控制：您需要一个访问控制策略 (ACP)，指定您正在使用的访问控制方法的类型，即自主访问控制 (DAC)、基于角色的访问控制 (RBAC) 或强制访问控制（MAC）。然后，您需要定义一组规则来确定谁可以在什么情况下访问哪些数据。您还需要指定允许用户请求访问资源的协议，包括如何/何时授予/撤销访问权限。

可接受的使用策略 (AUP)：除了控制对关键资产的访问之外，您还需要创建一个策略来确定哪些用户操作是可接受/不可接受的。 AUP 通常包含有关用户如何访问和使用互联网的信息，包括他们可以访问的网站和他们可以安装的应用程序。它还将包括被认为不可接受的操作列表，其中可能包括共享凭据、在登录时让工作站无人看管或将文件下载到 USB 驱动器。

数据访问监控：您需要指定计划如何跟踪对您的特权帐户和关键资产所做的更改。在大多数情况下，组织将使用某种形式的实时审核解决方案来自动检测、警报和响应异常事件。

事件响应计划 (ISP)：只有当您制定了响应可疑事件的策略时，监控对系统和数据的访问才有用。 IRP 分为六个阶段；准备、识别、遏制、清除、恢复和经验教训。在大多数情况下，例如当您的实时审核解决方案发出警报，通知您敏感数据已以可疑方式访问时，您只需查看事件日志即可确定它是虚假标志还是合法威胁。如果事实证明这是合法威胁，您将需要立即执行事件响应计划。

补丁管理策略：您需要有详细记录的程序来安装补丁/更新，以减少 IT 环境中的漏洞。

安全意识培训：解释何时以及如何提供安全意识培训，包括有关谁负责开发和演示培训材料的详细信息。

如前所述，信息安全是一个巨大的主题，如何保证数据安全的完整解释显然超出了本文的范围。例如，除了上面列出的要点之外，您还需要记录数据的加密方式（静态数据和传输数据）。您需要制定一项政策，详细说明您所采取的物理安全措施，其中可能包括锁、警报器、徽章和闭路电视摄像机的使用。

最后但并非最不重要的一点是，您将需要确定如何访问、使用、修改敏感数据以及从系统中删除敏感数据的策略。每个领域都需要仔细考虑。