Frage:
Welche Themen sind in der Unternehmenssicherheitspolitik am wichtigsten?
AviD
2010-11-17 07:07:49 UTC
view on stackexchange narkive permalink

Was ist mit einer Datenschutzrichtlinie? Sowohl intern als auch extern.

Es wäre schön, gegebenenfalls branchenspezifische Empfehlungen zu sehen
Der referenzierte Area51-Vorschlag "wurde gelöscht". Kann hier jemand auf den ursprünglichen Vorschlag verweisen oder ihn kopieren oder die Referenz löschen, wenn sie nicht mehr gültig ist?
@JohnnyUtahh nicht wirklich relevant, das war gerade, als wir die Site aus einer Reihe von zusammengeführten Vorschlägen booten ...
Vier antworten:
Rory Alsop
2010-12-20 17:00:22 UTC
view on stackexchange narkive permalink

Wichtige Punkte:

Es sollte die Sicherheitsakzeptanz / den Sicherheitsappetit der Organisation umreißen, damit die Standards, die die Richtlinie unterstützen, in der richtigen Umgebung definiert werden können.

Es müssen auch Verantwortlichkeiten, Eigentümer und Sponsoring definiert werden.

Aktualisiert, um nur einige Beispiele zu nennen, da ich dies ziemlich leicht gemacht habe. Auf hoher Ebene sollten Sie über Mindestrichtlinien verfügen, mit denen Sie Ihr Technologierisiko messen, verstehen und regulieren können. Diese werden auch aus Governance-Sicht in vielen Umgebungen benötigt -

  • Informationssicherheitsrichtlinie
  • Informationsklassifizierungsrichtlinie
  • Richtlinie zur akzeptablen Verwendung
  • Richtlinie zur Vorratsdatenspeicherung
  • Datenschutzrichtlinie
  • Richtlinie zur Risikobewertung

Sie sollten sich wahrscheinlich auch Folgendes ansehen, wenn Sie bieten Dienstleistungen oder Produkte für größere Organisationen an, da diese möglicherweise ein Governance-System betreiben, das ihre Dritten umfasst -

  • Unternehmens- und Sozialverantwortungspolitik
  • Umweltpolitik
  • Gleichstellungsrichtlinie

In Großbritannien müssen Sie Ihre Datenschutzanforderungen in Bezug auf den Data Protection Act 1998 definieren. Sie sollten auch Ihren Richtlinienrahmen unter Berücksichtigung der ISO27001-Standardfamilie erstellen Ebenso viele Sicherheitsprüfungen und -bewertungen für die Aufsichtsbehörde und für die IT-Abschlussprüfung sind um 27001 herum strukturiert.

growse
2010-11-19 21:57:17 UTC
view on stackexchange narkive permalink

Eine Sicherheitsrichtlinie für Unternehmen sollte kurz, leicht lesbar und allgemein gehalten sein. Grundsätzlich sollte aufgeführt werden, welche allgemeinen Bedrohungen und Risiken für das Unternehmen bestehen und wie diese allgemein gemindert werden können.

Wenn Sie beispielsweise ein Unternehmen haben, dessen Wert in den in einer Datenbank gespeicherten Daten liegt, a Die Sicherheitsrichtlinie des Unternehmens kann festlegen, dass die Datenbank durch Sicherheitskontrollen auf mehreren Ebenen geschützt werden soll, einschließlich Netzwerkzugriffskontrollen und Verschlüsselungskontrollen, und dass vertrauliche Daten möglicherweise in Systemen gespeichert werden sollten, die unter strenger Änderungskontrolle stehen.

Die Implementierung Diese Details hängen insbesondere vom System selbst und den vom Unternehmen ausgewählten standardisierten Technologien ab und sollten daher in der Dokumentation auf niedrigerer Ebene detailliert beschrieben werden.

Dan
2010-12-22 23:16:47 UTC
view on stackexchange narkive permalink

Ich stimme den obigen Kommentaren zu - die "richtige" Richtlinie hängt weitgehend von Ihrer Organisation ab.

Es kann jedoch hilfreich sein, die ISO / IEC 27000-Reihe zu überprüfen, für die eine Reihe von Standards gilt Informationssicherheitsmanagement wird häufig von großen IT-Organisationen übernommen ( http://en.wikipedia.org/wiki/ISO/IEC_27001, http://iso-17799.safemode.org/).

Zum Beispiel ist 27002 ein "Verhaltenskodex", der Dinge abdeckt wie:

  • Risikobewertung und -behandlung
  • Sicherheitsrichtlinie
  • Sicherheitsorganisation
  • Klassifizierung und Kontrolle von Vermögenswerten
  • Personensicherheit
  • Physische und Umweltsicherheit
  • Kommunikation und Betrieb Management
  • Zugriffskontrolle
  • Systementwicklung und -wartung
  • Incident Management für Informationssicherheit
  • Business Continuity Management
  • Compliance

Auch wenn Sie es nicht vollständig übernehmen, würde ich mit diesem Standard beginnen, um einen Entwurf eines Inhaltsverzeichnisses für Ihre Richtlinie zu entwickeln.

user185
2010-11-19 19:50:22 UTC
view on stackexchange narkive permalink

Das hängt davon ab: Was sind die größten Risiken für Ihr Unternehmen? In der Sicherheitsrichtlinie sollte es nicht darum gehen, Antivirenprogramme zu erstellen, da alle coolen Kinder über Antivirenprogramme verfügen. Es sollte darum gehen, zu verstehen, welche Bedrohungen am wichtigsten sind, dass Sie abschwächen, und eine Strategie zu definieren (wenn auch keine Taktik) ), um eine solche Minderung durchzuführen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...