Indholdsfortegnelse:
Video: SCP-2303 Tower of Silence | euclid | cognitohazard / building scp 2024
Sikkerhedspolitikker, standarder, procedurer og retningslinjer er alle forskellige fra hinanden, men de interagerer også med hinanden i en række af måder. Det er vigtigt at forstå disse forskelle og relationer, og også at genkende de forskellige typer politikker og deres applikationer.
For at kunne udvikle og implementere informationssikkerhedspolitikker, standarder, retningslinjer og procedurer skal du sikre, at din indsats er i overensstemmelse med organisationens mission, mål og mål.
Politikker, standarder, procedurer og retningslinjer arbejder sammen som tegninger til et vellykket informationssikkerhedsprogram. De
- Etablere governance.
- Giv værdifuld vejledning og beslutningsstøtte.
- Hjælp med at etablere juridisk myndighed.
For ofte implementeres tekniske sikkerhedsløsninger uden disse vigtige tegninger. Resultaterne er ofte dyre og ineffektive kontroller, der ikke anvendes ensartet og ikke understøtter en samlet sikkerhedsstrategi.
Governance er et udtryk, der kollektivt repræsenterer systemet med politikker, standarder, retningslinjer og procedurer, der hjælper med at styre en organisations daglige drift og beslutninger.
Politikker
A Sikkerhedspolitik danner grundlaget for en organisations informationssikkerhedsprogram. RFC 2196, Webstedets sikkerhedshåndbog, definerer en sikkerhedspolitik som "en formel opgørelse af regler, hvormed folk, der får adgang til organisationens teknologi- og informationsaktiver, skal overholde. ”
Senior ledelse:- Et højt niveau ledelseserklæring af organisationens sikkerhedsmål, organisatoriske og individuelle ansvar, etik og overbevisning samt generelle krav og kontroller. Regulatory:
- Meget detaljerede og koncise politikker, der normalt er underlagt føderale, statslige, industrielle eller andre juridiske krav. Rådgivende:
- Ikke obligatorisk, men stærkt anbefalet, ofte med specifikke sanktioner eller konsekvenser for manglende overholdelse. De fleste politikker falder ind under denne kategori. Informativ:
- Kun informerer, uden udtrykkelige krav til overholdelse. Standarder, procedurer og retningslinjer understøtter elementer i en politik og giver specifikke gennemførelsesoplysninger om politikken.
ISO / IEC 27002, Informationsteknologi - Sikkerhedsteknikker - Code of Practice for Information Security Management, er en international standard for informationssikkerhedspolitik.ISO / IEC er Den Internationale Organisation for Standardisering og International Elektrotekniske Kommission. ISO / IEC 27002 består af 12 sektioner, der stort set (men ikke fuldstændigt) overlapper de otte (ISC) 2 sikkerhedsdomeiner.
Standarder (og basislinjer)
Standarder
er specifikke, obligatoriske krav, der yderligere definerer og understøtter politikker på højere niveau. For eksempel kan en standard kræve brug af en bestemt teknologi, såsom et minimumskrav til kryptering af følsomme data ved hjælp af AES. En standard kan gå så langt som at angive det nøjagtige mærke, produkt eller protokol, der skal implementeres. Baselines
ligner og relaterer til standarder. En basislinje kan være nyttig til at identificere et konsekvent grundlag for en organisations sikkerhedsarkitektur under hensyntagen til systemspecifikke parametre, såsom forskellige operativsystemer. Når der er fastlagt konsekvente baselinier, kan passende standarder defineres på tværs af organisationen. Nogle organisationer kalder deres standardkonfigurationsdokumenter (og stadig andre kalder dem standard driftsmiljøer) i stedet for baseline. Dette er en almindelig og acceptabel praksis.
Procedurer
Procedurer
giver detaljerede instruktioner om, hvordan man implementerer specifikke politikker og opfylder kriterierne i standarder. Procedurer kan omfatte standard operative procedurer (SOP'er), køre bøger og brugervejledninger. For eksempel kan en procedure være en trinvis vejledning til kryptering af følsomme filer ved hjælp af et bestemt softwarekrypteringsprodukt. Retningslinjer
Retningslinjer
ligner standarder, men fungerer som anbefalinger frem for som obligatoriske krav. En vejledning kan f.eks. Give vejledning eller anbefalinger til bestemmelse af følsomheden af en fil og om kryptering er påkrævet.
