Zeven Sleutels tot Information Security Policy Development

Hoe volwassen is uw informatiebeveiligingsbeleid programma? Heeft u een set van verouderde documenten opgeslagen in een bindmiddel of intranetsite? Of heb je een gedocumenteerde management programma dat uw beleid blijft up-to-date, uw gebruikers op de hoogte en uw interne auditors slapen 's nachts?

In dit artikel bespreken we de zeven belangrijkste kenmerken van een effectief informatiebeveiligingsbeleid management programma. Deze elementen zijn geselecteerd uit onze leidende praktijken, informatiebeveiliging en privacy kaders en incidenten met informatiebeveiliging beleid. Organisaties kunnen deze checklist gebruiken om de looptijd van hun bestaande informatie beveiligingsbeleid te evalueren.

1. Schriftelijke informatie veiligheidsbeleid Documenten met Version Control

Ook al lijkt het voor de hand, bijna elke informatiebeveiliging standaard en specifiek kader vereist informatie beveiligingsbeleid te worden geschreven. Aangezien de schriftelijke informatie beveiligingsbeleid definiëren verwachtingen van het management en verklaarde doelstellingen voor de bescherming van informatie, kan het beleid niet "impliciete" - maar moeten worden gedocumenteerd. Het hebben van een "schriftelijk veiligheidsbeleid document" is de eerste sleutel controle binnen de internationale norm ISO /IEC 1-7799 gevestigd: 2005 (ISO 27002), en is essentieel voor het uitvoeren van zowel interne als externe audits. Maar wat zijn enkele kenmerken die zorgen voor een effectief geschreven nota?

2. Gedefinieerd Nota Ownership

Elke schriftelijke informatie veiligheidsbeleid document moet een bepaalde eigenaar of auteur te hebben. Deze verklaring van eigendom is de band tussen de schriftelijke beleidslijnen en de erkenning van de verantwoordelijkheid voor het actualiseren en onderhouden van informatie over het beveiligingsbeleid van het management. De auteur biedt ook een aanspreekpunt als iemand in de organisatie heeft een vraag over de specifieke eisen van elk beleid. Sommige organisaties hebben informatie beveiligingsbeleid die zo zijn out-of-date is dat de auteur niet meer in dienst is van de organisatie.

3 geschreven. Gerichte gebruikersgroepen voor elk veiligheidsbeleid

Niet alle informatie beveiligingsbeleid zijn geschikt voor elke rol in het bedrijf. Daarom moet schriftelijke informatie veiligheidsbeleid documenten worden gericht op specifieke doelgroepen bij de organisatie. Idealiter zou deze doelgroepen afstemmen met functionele gebruiker rollen binnen de organisatie.

Als u bijvoorbeeld alle gebruikers moet misschien herzien en erkennen Internet Acceptable Use beleid. Echter, zou misschien alleen een subset van de gebruikers worden verplicht om te lezen en te erkennen een Mobile Computing beleid dat de vereiste voor het werken thuis of op de weg controles bepaalt. Werknemers zijn al geconfronteerd met informatie-overload. Door simpelweg het plaatsen van elke informatiebeveiligingsbeleid op het intranet en de mensen vragen om ze te lezen, bent u werkelijk vraagt ​​niemand om ze te lezen.

4. Uitgebreide informatie Onderwerp van de Veiligheid Dekking

Sinds schriftelijke informatie beveiligingsbeleid vormen de blauwdruk voor het volledige programma voor de beveiliging, is het essentieel dat ze pakken de sleutel logische, technische en beheersmaatregelen die nodig zijn om risico's te verminderen aan de organisatie. Voorbeelden hiervan zijn toegangscontrole, authenticatie van de gebruiker, netwerkbeveiliging, media controles, fysieke veiligheid, incident response en business continuity. Hoewel de exacte profiel van elke organisatie is anders, kan veel organisaties kijken naar wettelijke eisen aan het beveiligingsbeleid onderwerp dekking voor hun organisatie te definiëren. Zo moeten bedrijven in de gezondheidszorg in de Verenigde Staten aan te pakken aan de eisen van HIPAA, financiële dienstverleners moeten aanpakken van de Gramm-Leach-Bliley Act (GLBA), terwijl organisaties die op te slaan en te verwerken credit cards aan de eisen van de PCI-DSS moeten volgen.

5. Een Verified Beleid Awareness and Audit Trail

Beveiliging beleidsdocumenten zal niet effectief zijn, tenzij ze worden gelezen en begrepen door alle leden van de doelgroep die voor elk document. Voor bepaalde documenten, zoals een Internet Acceptable Use Policy of de gedragscode, de doelgroep is waarschijnlijk de hele organisatie. Elk beleid documentbeveiliging moet een overeenkomstige "audit trail" die laat zien welke gebruikers hebben gelezen en erkende het document, met inbegrip van de datum van erkenning. Deze audit trail moet de specifieke versie van het beleid

6 verwijzen, op te nemen die het beleid in die periode periodes werden afgedwongen.. Een schriftelijke informatie veiligheidsbeleid Uitzondering Process

Het kan onmogelijk zijn voor elk onderdeel van de organisatie om alle van de gepubliceerde informatie beveiligingsbeleid te volgen op alle tijden. Dit geldt vooral als het beleid worden ontwikkeld door de juridische of informatiebeveiliging afdeling zonder input van business units. In plaats ervan uitgaande er geen uitzonderingen op beleid, het de voorkeur een gedocumenteerd proces voor het aanvragen en goedkeuren uitzonderingen op beleid. Schriftelijke uitzondering verzoeken moeten de goedkeuring van één of meer managers binnen de organisatie vereisen, en hebben een bepaald tijdsbestek (van zes maanden tot een jaar), waarna de uitzonderingen opnieuw zal worden beoordeeld.

7. Reguliere veiligheidsbeleid Updates naar Risk
Verminder

Auditors, toezichthouders, en federale rechtbanken hebben consequent dezelfde boodschap - Geen enkele organisatie kan beweren dat het effectief verminderen van risico's wanneer het een onvolledige, achterhaalde reeks schriftelijke beleid. Geschreven beveiligingsbeleid vormen de "blauwdruk" voor het gehele programma informatiebeveiliging, en een effectief programma moeten worden gecontroleerd, beoordeeld en bijgewerkt op basis van een voortdurend veranderende zakelijke omgeving. Om organisaties te helpen met deze moeilijke taak, sommige bedrijven publiceren een bibliotheek van schriftelijke beleidslijnen informatiebeveiliging die regelmatig worden bijgewerkt op basis van de meest recente informatie beveiligingsrisico's, wijzigingen in de regelgeving en nieuwe technologieën. . Dergelijke diensten kunnen organisaties
  bespaart vele duizenden dollars behoud geschreven beleid;

algemene zelfhulp

  1. Waslijn Pinnen En Borstels Promoot uw Homecare
  2. Hoe omgaan met plagen At Your Commercial Building
  3. Binge Eating Help: Hoe u kunt besparen jezelf
  4. Hoe gebruik te maken van cv-installaties effectief
  5. Kurkvloeren Toepasselijk voor Kelders
  6. Wat zijn precies Los Angeles Medical marihuanaapotheken
  7. Hoe te kiezen Outdoor Grills en deurmatten
  8. Maak uw huis mooi
  9. Get Inspired met 10 Krachtige Louise Hay Quotes
  10. De True Moderne Bank Luna viert Goedkoop Ontwerp
  11. Hoe vind je de beste Newcastle Cleaner
  12. *** Love - Een agent van Verandering
  13. Natural Teeth Whitening Soorten
  14. Deze filosofie zal u helpen krijgen een voorsprong in Life
  15. Service Uw airconditioner voor de zomer Comfort
  16. The Ultimate Gift ... Het leven!
  17. Voordelen van Bluetooth Auto accessoires
  18. Keuken Accessoires voor Left & Right Handed Gebruik
  19. Right Way van Cleaning Damp Tapijt
  20. Bespaar tijd en geld door het inhuren van een Emergency Restauratie Professional