Innholdsfortegnelse:
Video: Thorium. 2024
Sikkerhetspolitikk, standarder, prosedyrer og retningslinjer er forskjellige fra hverandre, men de samhandler også med hverandre i en rekke av måter. Det er viktig å forstå disse forskjellene og relasjonene, og også å gjenkjenne de ulike typer retningslinjer og deres applikasjoner.
For å kunne utvikle og implementere informasjonssikkerhetspolitikk, standarder, retningslinjer og prosedyrer, må du sikre at innsatsen din er i samsvar med organisasjonens oppdrag, mål og mål.
Retningslinjer, standarder, prosedyrer og retningslinjer samarbeider alle sammen som tegninger for et vellykket informasjonssikkerhetsprogram. De
- Etablere styring.
- Gi verdifull veiledning og beslutningstøtte.
- Hjelp å etablere juridisk autoritet.
For ofte blir tekniske sikkerhetsløsninger implementert uten disse viktige tegningene. Resultatene er ofte dyre og ineffektive kontroller som ikke er jevnt anvendt og ikke støtter en samlet sikkerhetsstrategi.
Governance er et begrep som kollektivt representerer systemet med retningslinjer, standarder, retningslinjer og prosedyrer som bidrar til å styre en organisasjons daglige drift og beslutninger.
Retningslinjer
A sikkerhetspolitikk danner grunnlaget for et organisasjons informasjonssikkerhetsprogram. RFC 2196, Nettstedssikkerhetshåndboken, definerer en sikkerhetspolicy som "en formell uttalelse av regler der folk som får tilgang til organisasjonens teknologi og informasjon eiendeler må overholde. “
De fire hovedtyper av retningslinjer er- Senior Management: Et overordnet ledelseserklæring om organisasjonens sikkerhetsmål, organisatoriske og individuelle ansvar, etikk og tro og generelle krav og kontroller.
- Regulatory: Meget detaljerte og koncise retningslinjer som vanligvis er underlagt føderale, statlige, industrielle eller andre juridiske krav.
- Rådgivende: Ikke obligatorisk, men sterkt anbefalt, ofte med bestemte straffer eller konsekvenser for manglende overholdelse. De fleste politikkene faller inn i denne kategorien.
- Informativ: Informerer kun, uten eksplisitte krav til overholdelse.
Standarder, prosedyrer og retningslinjer støtter elementer i en policy og gir spesifikke implementeringsdetaljer for politikken.
ISO / IEC 27002, Informasjonsteknologi - Sikkerhetsteknikker - Veiledning for informasjonssikkerhetsstyring, er en internasjonal standard for informasjonssikkerhetspolitikk.ISO / IEC er International Organization for Standardization and International Electrotechnical Commission. ISO / IEC 27002 består av 12 seksjoner som i stor grad (men ikke helt) overlapper de åtte (ISC) 2 sikkerhetsdomenene.
Standarder (og basislinjer)
Standarder er spesifikke, obligatoriske krav som videre definerer og støtter høyere politikk. For eksempel kan en standard kreve bruk av en bestemt teknologi, for eksempel et minimumskrav for kryptering av sensitive data ved hjelp av AES. En standard kan gå så langt som å spesifisere det eksakte merkevaren, produktet eller protokollen som skal implementeres.
Baselines ligner og er relatert til standarder. En grunnlinje kan være nyttig for å identifisere et konsistent grunnlag for en organisasjons sikkerhetsarkitektur, med tanke på systemspesifikke parametere, for eksempel forskjellige operativsystemer. Etter at det er etablert konsekvente grunnlinjer, kan passende standarder defineres på tvers av organisasjonen.
Noen organisasjoner kaller standardkonfigurasjonsstandardene sine (og andre kaller dem standard operasjonsmiljøer) i stedet for baseline. Dette er en vanlig og akseptabel praksis.
Prosedyrer
Prosedyrer gir detaljerte instruksjoner om hvordan du implementerer bestemte retningslinjer og oppfyller kriteriene som er definert i standarder. Prosedyrer kan omfatte standard operativprosedyrer (SOPer), kjøre bøker og brukerhåndbøker. For eksempel kan en prosedyre være en trinnvis veiledning for kryptering av sensitive filer ved å bruke et bestemt programvarekrypteringsprodukt.
Retningslinjer
Retningslinjer ligner på standarder, men fungerer som anbefalinger fremfor som obligatoriske krav. For eksempel kan en retningslinje gi tips eller anbefalinger for å bestemme følsomheten til en fil og om kryptering er nødvendig.
