Zeven Sleutels tot Information Security Policy Development

Hoe volwassen is uw informatiebeveiligingsbeleid programma? Heeft u een set van verouderde documenten opgeslagen in een bindmiddel of intranetsite? Of heb je een gedocumenteerde management programma dat uw beleid blijft up-to-date, uw gebruikers op de hoogte en uw interne auditors slapen 's nachts?

In dit artikel bespreken we de zeven belangrijkste kenmerken van een effectief informatiebeveiligingsbeleid management programma. Deze elementen zijn geselecteerd uit onze leidende praktijken, informatiebeveiliging en privacy kaders en incidenten met informatiebeveiliging beleid. Organisaties kunnen deze checklist gebruiken om de looptijd van hun bestaande informatie beveiligingsbeleid te evalueren.

1. Schriftelijke informatie veiligheidsbeleid Documenten met Version Control

Ook al lijkt het voor de hand, bijna elke informatiebeveiliging standaard en specifiek kader vereist informatie beveiligingsbeleid te worden geschreven. Aangezien de schriftelijke informatie beveiligingsbeleid definiëren verwachtingen van het management en verklaarde doelstellingen voor de bescherming van informatie, kan het beleid niet "impliciete" - maar moeten worden gedocumenteerd. Het hebben van een "schriftelijk veiligheidsbeleid document" is de eerste sleutel controle binnen de internationale norm ISO /IEC 1-7799 gevestigd: 2005 (ISO 27002), en is essentieel voor het uitvoeren van zowel interne als externe audits. Maar wat zijn enkele kenmerken die zorgen voor een effectief geschreven nota?

2. Gedefinieerd Nota Ownership

Elke schriftelijke informatie veiligheidsbeleid document moet een bepaalde eigenaar of auteur te hebben. Deze verklaring van eigendom is de band tussen de schriftelijke beleidslijnen en de erkenning van de verantwoordelijkheid voor het actualiseren en onderhouden van informatie over het beveiligingsbeleid van het management. De auteur biedt ook een aanspreekpunt als iemand in de organisatie heeft een vraag over de specifieke eisen van elk beleid. Sommige organisaties hebben informatie beveiligingsbeleid die zo zijn out-of-date is dat de auteur niet meer in dienst is van de organisatie.

3 geschreven. Gerichte gebruikersgroepen voor elk veiligheidsbeleid

Niet alle informatie beveiligingsbeleid zijn geschikt voor elke rol in het bedrijf. Daarom moet schriftelijke informatie veiligheidsbeleid documenten worden gericht op specifieke doelgroepen bij de organisatie. Idealiter zou deze doelgroepen afstemmen met functionele gebruiker rollen binnen de organisatie.

Als u bijvoorbeeld alle gebruikers moet misschien herzien en erkennen Internet Acceptable Use beleid. Echter, zou misschien alleen een subset van de gebruikers worden verplicht om te lezen en te erkennen een Mobile Computing beleid dat de vereiste voor het werken thuis of op de weg controles bepaalt. Werknemers zijn al geconfronteerd met informatie-overload. Door simpelweg het plaatsen van elke informatiebeveiligingsbeleid op het intranet en de mensen vragen om ze te lezen, bent u werkelijk vraagt ​​niemand om ze te lezen.

4. Uitgebreide informatie Onderwerp van de Veiligheid Dekking

Sinds schriftelijke informatie beveiligingsbeleid vormen de blauwdruk voor het volledige programma voor de beveiliging, is het essentieel dat ze pakken de sleutel logische, technische en beheersmaatregelen die nodig zijn om risico's te verminderen aan de organisatie. Voorbeelden hiervan zijn toegangscontrole, authenticatie van de gebruiker, netwerkbeveiliging, media controles, fysieke veiligheid, incident response en business continuity. Hoewel de exacte profiel van elke organisatie is anders, kan veel organisaties kijken naar wettelijke eisen aan het beveiligingsbeleid onderwerp dekking voor hun organisatie te definiëren. Zo moeten bedrijven in de gezondheidszorg in de Verenigde Staten aan te pakken aan de eisen van HIPAA, financiële dienstverleners moeten aanpakken van de Gramm-Leach-Bliley Act (GLBA), terwijl organisaties die op te slaan en te verwerken credit cards aan de eisen van de PCI-DSS moeten volgen.

5. Een Verified Beleid Awareness and Audit Trail

Beveiliging beleidsdocumenten zal niet effectief zijn, tenzij ze worden gelezen en begrepen door alle leden van de doelgroep die voor elk document. Voor bepaalde documenten, zoals een Internet Acceptable Use Policy of de gedragscode, de doelgroep is waarschijnlijk de hele organisatie. Elk beleid documentbeveiliging moet een overeenkomstige "audit trail" die laat zien welke gebruikers hebben gelezen en erkende het document, met inbegrip van de datum van erkenning. Deze audit trail moet de specifieke versie van het beleid

6 verwijzen, op te nemen die het beleid in die periode periodes werden afgedwongen.. Een schriftelijke informatie veiligheidsbeleid Uitzondering Process

Het kan onmogelijk zijn voor elk onderdeel van de organisatie om alle van de gepubliceerde informatie beveiligingsbeleid te volgen op alle tijden. Dit geldt vooral als het beleid worden ontwikkeld door de juridische of informatiebeveiliging afdeling zonder input van business units. In plaats ervan uitgaande er geen uitzonderingen op beleid, het de voorkeur een gedocumenteerd proces voor het aanvragen en goedkeuren uitzonderingen op beleid. Schriftelijke uitzondering verzoeken moeten de goedkeuring van één of meer managers binnen de organisatie vereisen, en hebben een bepaald tijdsbestek (van zes maanden tot een jaar), waarna de uitzonderingen opnieuw zal worden beoordeeld.

7. Reguliere veiligheidsbeleid Updates naar Risk
Verminder

Auditors, toezichthouders, en federale rechtbanken hebben consequent dezelfde boodschap - Geen enkele organisatie kan beweren dat het effectief verminderen van risico's wanneer het een onvolledige, achterhaalde reeks schriftelijke beleid. Geschreven beveiligingsbeleid vormen de "blauwdruk" voor het gehele programma informatiebeveiliging, en een effectief programma moeten worden gecontroleerd, beoordeeld en bijgewerkt op basis van een voortdurend veranderende zakelijke omgeving. Om organisaties te helpen met deze moeilijke taak, sommige bedrijven publiceren een bibliotheek van schriftelijke beleidslijnen informatiebeveiliging die regelmatig worden bijgewerkt op basis van de meest recente informatie beveiligingsrisico's, wijzigingen in de regelgeving en nieuwe technologieën. . Dergelijke diensten kunnen organisaties
  bespaart vele duizenden dollars behoud geschreven beleid;

zakelijke ontwikkeling

  1. Een betaalbare Android Development Services uit Techliance
  2. Telefoon IP Telephony Services Untangled - de verschillen
  3. Kelder water Schade New York: Wat u moet weten
  4. Billet aluminium roosters en hun goed vond Gebruik
  5. Goede Loodgieter Services in Watford
  6. Keuze tussen meerdere zakelijke telefoon
  7. Ontwerpen Zaken Logo Aangeboden voor Custom Zaken Logo en andere Business Logo Design
  8. Samengestelde deuren hebben geen onderhoud nodig
  9. Hybride auto's
  10. Het kiezen van een bed
  11. Hoe Video E-mail bespaart uw bedrijf geld terwijl de uitbreiding van zakelijke potentieel
  12. Stel uw telefoonnummer met Reverse Phone Lookup
  13. OUR ebooks evenals vele voordelen
  14. VOIP Diensten - Vechten op de markt
  15. B2B Lead Generation: een uitstekend hulpmiddel voor bedrijven
  16. Wat voor soort bedrijf is de beste om te beginnen?
  17. VoIP-telefoon is heel innovatieve technologieën
  18. Hoe kunt u uw werkplek meer Professional met Office partities
  19. Uitbesteden van uw werk om Productie te verhogen
  20. Hoe kan ik een beslissing lange afstand kiezen