组织经常为各种需求创造多个 IT 策略:灾难恢复、数据分类、数据隐私、风险评估、风险管理等。这些文件通常是相互关联的,并为组织提供了一个指导决策和响应的框架。
组织还需要信息安全策略。这类政策提供的控制和程序有助于确保员工适当使用 IT 资产。本文解释了创建信息安全策略的好处,它应该包含哪些元素和成功的优秀实践。
什么是信息安全政策?
国家科学技术研究院 (NIST)将信息安全政策定义为如何管理、保护和分发信息的指令、法规、规则和实践。
由于组织有不同的业务要求、合规义务和人员配备,不适用于所有人的单一信息安全策略。相反,每个 IT 部门应确定最能满足其特定需求的战略选择,并创建经高级利益相关者批准的简单文件。
信息安全策略有什么好处?
由于以下原因,信息安全策略非常重要:
(1) 确保数据的机密性、完整性和可用性
制定可靠的政策为识别和降低数据机密性、完整性和可用性风险(称为CIA 三元组)提供了一种标准化的方法,并提供了响应问题的适当步骤。
(2) 帮助将风险降到最低
信息安全策略详细说明了组织如何发现、评估和缓解 IT 在系统中断或数据泄露后,防止安全威胁和恢复过程。
(3) 协调和实施整个组织的安全计划
任何安全计划都需要创建一个有凝聚力的信息安全策略。这有助于防止不同的部门做出决定,或者更糟糕的是,根本没有政策。该策略定义了组织如何识别不执行有用安全功能的无关工具或流程。
(4) 将安全措施传达给第三方和外部审计师
编制安全策略使组织能够轻松地围绕 IT 向员工和内部利益相关者传达资产和资源的安全措施,以及外部审计师、承包商和其他第三方。
(5) 帮助组织合规
拥有完善的安全战略,通过国外组织HIPAA 和CCPA安全标准和法规的合规性审查非常重要,在我国实施网络安全等级保护和关键信息基础设施安全保护的合规性非常重要。审计师通常要求公司提供内部控制文件,信息安全政策可以帮助组织证明执行所需任务,如:
- 对当前 进行定期评估IT 安全策略的充分性
- 在技术或工作过程中发现和缓解漏洞
- 分析现有系统在数据完整性和网络安全方面的功效
在制定信息安全政策时,有哪些好的资源可供参考?
制定信息安全战略可能是一项艰巨的任务。以下框架为如何制定和维护安全战略提供了指南:
- 网络安全等级保护-网络安全等级保护是我国网络安全领域的基本制度和国家政策。通过一套系统的要求和实现,确保网络安全。
- COBIT — COBIT 专注于安全、风险管理和信息管理Sarbanes-Oxley (SOX) 合规性特别有价值。
- NIST 网络安全框架-该框架提供与风险分析和风险管理五个阶段一致的安全控制:识别、保护、测试、响应和恢复。通常用于水、交通、能源生产等关键基础设施领域。
- ISO/IEC 2自国际标准组织的这个系列是最广泛的框架之一。它可以适应各种类型和规模的组织,并为特定的行业设计各种子标准。ISO 2799 解决了医疗保健信息安全问题HIPAA 合规组织非常有用。本系列的其他标准适用于云计算、数字证据收集和存储安全。
此外,各种组织可以编辑数据安全策略模板来满足需求,而不是从头开始。
信息安全政策的关键要素是什么?
一般来说,信息安全策略应包括以下部分:
(1) 目的:明确安全策略的目的。请确定任何旨在帮助组织遵守的法律法规。
(2) 范围:详细说明该策略的内容,如计算机等 IT 资产、数据存储库、用户、系统和应用程序。
(3) 时间表:指定保单的生效日期。
(4) 权威:确定支持政策的个人或实体,如公司所有者或董事会。
(5)政策合规性:列出所有旨在帮助组织遵守数据安全政策的法律法规,如 HIPAA、SOX、PCI DSS 或 GLBA。
(6) 文本:描述每个领域的程序、过程和控制:
- 资产和信息分类与控制:描述如何按安全分类标记数据并应用控制,以确保适当的数据保护。
- 信息保留:说明如何存储和备份数据,并执行保留时间表。
- 人员安全:有关人员事项的详细安全程序,如保密协议和人员筛选。
- 身份和访问管理:描述用户访问、权限和密码的管理策略。请注意基于用户角色和职责的特殊要求,如需要安全操作人员进行强身份验证。本节还确定了网络安全、应用程序访问控制和云安全。
- 变更管理和事件管理:定义响应可能会影响 IT 变更系统机密性、完整性或可用性的程序。还应详细说明安全风险或系统故障的适当事件响应程序,以及负责这些任务的具体人员。
- 可接受的使用政策:描述个人如何在商业和个人使用组织的网络、互联网访问或设备。详细说明员工、承包商、志愿者或公众等不同群体的差异
- 防病毒和补丁管理:指定应用防病毒更新和软件补丁的程序。
- 物理和环境安全:制定物理安全信息安全标准,如锁门和受控访问区。
- 通信与运营管理:描述系统规划与验收、内容备份与漏洞管理等领域的运营程序和职责。
- 信息和软件交换:总结与外部各方交换数据或软件的适当步骤。本节特别适用于与第三方合作或必须响应客户或第三方数据请求的组织。确保符合隐私政策。
- 加密控制:指定必要的加密用途,以实现安全目标,如加密电子邮件附件或存储在笔记本电脑上的数据。
(7) 用户培训:描述用户必须接受的安全意识和其他培训,以及负责开发和实施培训的团队。
(8) 联系人:指定负责创建和编辑信息安全战略文件的人员或团队。
(9) 版本历史:跟踪所有政策修订。包括每次更新的日期和作者。
创造良好的安全策略应该遵循哪些最佳实践?
遵循这些最佳实践将有助于组织创建有效的信息安全策略:
- 得到高管的支持。如果最高领导层签署了这项政策,它将更容易实施和实施。
- 列出所有适当的安全法规。确保熟悉管理自己行业的所有法律法规,因为它们会严重影响政策内容。
- 评估系统、流程和数据。在起草文件之前,请熟悉当前的系统、数据和工作流程。这将需要与业务合作伙伴密切合作。
- 为组织定制策略。确保该政策与组织的需要有关。花时间澄清政策的目标并确定其范围。
- 识别风险。组织必须识别潜在风险,以概述适当的风险响应程序。许多组织通过风险评估来做到这一点。
- 对新的安全控制持开放态度。组织可能需要根据识别的风险采取新的安全措施。
- 彻底记录程序。信息安全政策的许多方面都取决于它描述的程序。有时,员工已经在执行这些工作流程,所以这一步只需要写下来。在任何情况下,测试这些程序,以确保它们准确和完整。
- 教育和培训。信息安全不能仅仅作为文件存在的策略来实现。确保所有员工都接受安全政策和合规实践的培训。
常问问题
(1) 什么是安全策略?
使用安全策略是书面文件IT个人确定组织资产和资源的标准和程序。
(2)为什么安全策略很重要?
解决信息安全威胁,制定安全策略,减少安全威胁IT安全风险的策略和程序是必要的。
(3) 良好安全策略的关键组成部分是什么?
强大的 IT 安全策略的基础是组织 IT 对安全计划目标的明确描述包括所有适用的合规标准。该政策还将详细说明组织将用于正确管理、保护和分发信息的过程和控制。
(4) 最常见的安全策略失败是什么?
最常见的失败点是用户对策略内容缺乏了解。如果没有适当的用户培训和实施,即使是最好的安全策略也会产生错误的安全感,从而面临关键资产的风险。