如果您对 "我们如何确保自己不会成为下一个勒索软件的受害者 "这个问题再熟悉不过了,请举手示意。 如果您是 CISO、CIO 或 IT 总监,最近可能经常被高级管理层问到这个问题。 虽然尝试最新的一招鲜技术解决方案可能很诱人,但真正保护组织及其数据需要广泛而全面的方法。 没有比这更好的基础了建设保护文化比一个好的信息安全政策更重要。
none
国外代理软件
国外代理软件
安全策略(也称信息安全策略或 IT 安全策略)是一份文件,其中阐明了组织用于维护信息安全的规则、期望和总体方法。保密性、完整性和可用性数据的安全。 安全策略存在于许多不同层面,从描述企业总体安全目标和原则的高层结构,到解决远程访问或 Wi-Fi 使用等具体问题的文件。
安全政策经常与标准操作程序等其他类型的文件结合使用。 这些文件共同帮助公司实现其安全目标。 政策定义了总体战略和安全立场,而其他文件则帮助围绕这一实践建立结构。 可以认为,安全策略回答了 "是什么 "和 "为什么",而程序、标准和指南则回答了 "如何做"。
国外代理软件
none
国外代理软件
安全策略并不提供具体的低级技术指导,但它确实阐明了高级管理层在安全方面的意图和期望。 然后由安全或 IT 团队将这些意图转化为具体的技术行动。
例如,某项政策可能规定,只有经授权的用户才能访问公司的专有信息。 用于执行这一政策的具体身份验证系统和访问控制规则可能会随着时间的推移而改变,但总体意图是不变的。 没有出发点,安全或 IT 团队只能猜测高级管理层的愿望。 这可能会导致不同小组和业务实体对安全控制的应用不一致。
国外代理软件
如果没有安全策略,每个员工或用户都只能根据自己的判断来决定什么是合适的,什么是不合适的。 如果不同的员工采用不同的标准,就会导致灾难。
none
国外代理软件
文件化的安全政策是法律的要求,例如HIPAA和《萨班斯-奥克斯利法案》,以及 PCI-DSS、ISO 27001 和 SOC2 等法规和标准。 即使没有明确要求,在制定战略以满足日益严格的安全和数据隐私要求时,安全政策通常也是一种实际需要。
国外代理软件
none
none
国外代理软件
根据不同组织的需求,安全策略的范围、适用性和复杂程度也各不相同。 虽然没有通用的安全策略模式,但美国国家标准与技术研究院(NIST)在《安全策略》一书中列出了三种不同类型的安全策略。特别出版物 (SP) 800-12:
国外代理软件
计划政策是指导组织信息安全计划的战略性高层蓝图。 它们阐明了计划的目的和范围,并定义了角色和职责以及合规机制。 这些文件也被称为主政策或组织政策,是在高级管理层的高度参与下制定的,通常与技术无关。 它们是更新最不频繁的政策类型,因为其编写水平应足够高,即使在技术和组织发生变化时也能保持相关性。
国外代理软件
针对具体问题的政策建立在通用安全政策的基础上,针对与组织员工相关的某些问题提供更具体的指导。 常见的例子包括网络安全政策、自带设备 (BYOD) 政策、社交媒体政策或远程工作政策。 这些政策可能涉及特定的技术领域,但通常比较通用。 远程访问政策可能会规定,只有通过公司批准和支持的 VPN 才能进行异地访问,但该政策可能不会指定具体的 VPN 客户端。 这样,公司就可以在不进行重大更新的情况下更换供应商。
国外代理软件
针对特定系统的政策是最细化的 IT 安全政策类型,侧重于特定类型的系统,如防火墙或网络服务器,甚至是单个计算机。 与针对特定问题的政策相比,针对特定系统的政策可能与维护这些政策的技术人员最为相关。 NIST 指出,特定系统政策应包括安全目标和操作规则。 IT 和安全团队在很大程度上参与了特定系统政策的创建、实施和执行,但关键决策和规则仍由高级管理层制定。
国外代理软件
none
国外代理软件
这对计划政策尤为重要。 请记住,许多员工对安全威胁知之甚少,可能会将任何类型的安全控制视为一种负担。 在安全政策的最高层阐明明确的使命或目的,应有助于整个组织了解信息安全的重要性。
国外代理软件
none
国外代理软件
none
国外代理软件
none
国外代理软件
请记住,安全策略的受众通常是非技术人员。 语言简洁、不使用专业术语非常重要,文件中的任何技术术语都应明确定义。
国外代理软件
风险永远无法完全消除,但每个组织的管理层都要决定可接受的风险程度。 安全政策必须考虑到这种风险偏好,因为它将影响所涵盖的主题类型。
国外代理软件
安全政策更新对保持有效性至关重要。 虽然计划或主政策可能不需要经常更改,但仍应定期审查。 随着技术、员工趋势和其他因素的变化,针对具体问题的政策需要更频繁地更新。 随着时间的推移,您可能会发现还需要新的政策: BYOD 和远程访问政策就是很好的例子,这些政策在过去十年左右才变得无处不在。
国外代理软件
安全政策要想成功地帮助建立一个真正的安全文化因此,它必须具有相关性和现实性,语言既全面又简洁。 如果这听起来像是一种难以平衡的行为,那就是事实。 虽然有很多模板和实际案例可以帮助您入门,但每项安全政策都必须根据组织的具体需求进行微调。
无论您是从零开始,还是从现有模板开始,以下问题都能帮助您获得正确的思维方式:
- 如何使安全政策与组织的业务目标保持一致?
- none
- none
- 政策范围是什么?
- 如何监督和执行政策的遵守情况?
- 哪些法规适用于您所在的行业? 例如 GLBA、HIPAA、Sarbanes-Oxley 等。
- 组织的风险偏好是什么?
- 组织中已有哪些现有规则、规范或协议(包括正式和非正式的)?
- 政策应多久审查和更新一次?
- none
国外代理软件
一个复杂的大型企业可能有几十种不同的 IT 安全政策,涵盖不同的领域。 您选择实施的政策将取决于所使用的技术以及公司文化和风险偏好。 尽管如此,以下是一些最常见的政策:
- 计划或组织政策:这一高层次的安全蓝图是所有组织必须具备的,它阐明了信息安全计划的目标和目的。 计划政策还规定了角色和责任、合规监控和执行,以及与其他组织政策和原则的一致性。
- none这是一项针对具体问题的政策,规定了员工访问和使用公司信息资源的可接受条件。
- 远程访问政策:这项针对具体问题的政策规定了员工远程访问公司资源的方式和时间。
- 数据安全政策: 数据安全这些问题可以在计划政策中解决,但制定专门的政策来描述数据分类、所有权和组织的加密原则可能也会有所帮助。
- 防火墙政策:作为最常见的特定系统策略之一,防火墙策略描述了企业防火墙应允许或拒绝的流量类型。 需要注意的是,即使在这个层面上,策略仍然只描述 "是什么";描述如何配置防火墙以阻止某些类型流量的文件是一个程序,而不是策略。
国外代理软件
正如我们已经讨论过的,有效的安全策略需要根据企业的具体情况量身定制,但这并不意味着你必须从头开始。 无论是起草计划政策还是针对特定问题的政策,安全政策模板都是一个很好的起点。 以下是一份完全免费的模板快速清单,您可以从中借鉴:
- SANS 研究所安全政策模板: 备受推崇的 SANS Institute 收集了大量针对特定问题的安全策略,这些策略是由一些最有经验的主题专家共同制定的。 这些模板政策完全可以免费使用,但切记要根据贵组织的实际情况进行定制。
- PurpleSec 安全策略模板: 安全咨询公司 PurpleSec 还提供免费使用的安全模板作为社区资源。 你可以在他们的网站上找到密码策略、电子邮件安全策略、网络安全策略等。
- none: 国家学习联盟和国家卫生信息技术协调员办公室的这一模板侧重于与医疗保健行业相关的主题,尤其是电子病历。
none
none
- none: 这所知名大学发布的安全政策既全面又易读,证明了令人印象深刻的安全政策可以兼具这两个特点。
- 芝加哥市安全政策none
- Oracle 安全政策: 技术巨头甲骨文公司的这份冗长的安全政策提供了一个不寻常的视角,展示了通常不对外发布的主要企业安全政策。
国外代理软件
国外代理软件
答:安全政策的作用是传达高级管理层在信息安全和安全意识方面的意图。 它包含指导安全策略的高层原则、目标和目的。
国外代理软件
none
国外代理软件
答:许多法律法规以及监管和安全标准都明确要求制定安全政策,或者是出于实用性考虑。 对于各种规模和类型的组织来说,至少制定一项组织安全政策被认为是一种最佳做法。
国外代理软件
答:有许多资源可以帮助您开始工作。 NIST 的信息安全入门(SP 800-12)提供了大量有关政策和程序管理的背景资料和实用技巧。 SANS 研究所拥有大量的安全政策模板由专题专家制定。
国外代理软件
none安全审计因此,必须同时使用管理控制和技术控制。 管理Varonis 数据安全平台可以成为您制定、实施和微调安全策略的完美补充。 联系我们一对一演示今天。
国外代理软件
以下是我们可以帮助您开始降低公司数据风险之旅的三种方法: