Siete claves para Seguridad de la Información de Desarrollo de Políticas

¿Cómo madura es su programa de política de seguridad de la información? ¿Tiene un conjunto de documentos obsoletos almacenados en un sitio ligante o intranet? ¿O usted tiene un programa de gestión documentado que mantiene sus políticas hasta la fecha, los usuarios informados y sus auditores internos para dormir por la noche?

En este artículo revisamos siete características clave de un programa de gestión de la política de seguridad de la información eficaz. Estos elementos están vaciados de nuestras prácticas líderes, los marcos de seguridad de la información y la privacidad, y los incidentes relacionados con las políticas de seguridad de la información. Las organizaciones pueden utilizar esta lista de verificación para evaluar la madurez de sus políticas de seguridad de la información existentes.

1. Escrito Documentos de Información Política de seguridad con control de versiones

A pesar de que parece estándar de seguridad obvio, casi todos los de información y marco requiere específicamente que las políticas de seguridad de la información para ser escrito. Dado que las políticas de seguridad de información escritos definen expectativas de la administración y los objetivos establecidos para la protección de la información, las políticas no pueden ser "implícita" - pero tienen que ser documentado. Tener un "documento de política de seguridad escrita" es la primera tecla de control establecido en la norma internacional ISO /IEC 1-7.799: 2005 (ISO 27002), y es fundamental para la realización de auditorías internas y externas. Pero ¿cuáles son algunas de las características que hacen que un documento de política efectiva escrito?

2. Política Definido Documento Propiedad

Cada información de documento de política de seguridad por escrito debe tener un propietario o autor definido. Esta declaración de la propiedad es el vínculo entre las políticas escritas y el reconocimiento de la responsabilidad de la administración para la actualización y el mantenimiento de las políticas de seguridad de la información. El autor también proporciona un punto de contacto si alguien en la organización tiene una pregunta acerca de los requisitos específicos de cada política. Algunas organizaciones han escrito las políticas de seguridad de la información que son tan fuera de la fecha en la que el autor ya no es empleado de la organización.

3. Grupos de usuarios específicas para cada Directiva de seguridad

No todas las políticas de seguridad de la información son apropiados para cada función en la empresa. Por lo tanto, los documentos de política de seguridad de información por escrito deben ser dirigidos a públicos específicos con la organización. Lo ideal sería que estas audiencias deben estar alineados con los roles de usuario funcionales dentro de la organización.

Por ejemplo, todos los usuarios podrían tener que revisar y reconocer Internet Use políticas aceptables. Sin embargo, tal vez sólo un subconjunto de usuarios sería necesario para leer y reconocer una política informática móvil que defina los controles necesarios para el trabajo en casa o en la carretera. Los empleados que ya se enfrentan a la sobrecarga de información. Simplemente colocando cada póliza de seguridad de la información en la intranet y pidiendo a la gente a leer, en realidad estás pidiendo a nadie que leerlos
.

4. Cobertura Tema Integral de Información de Seguridad

Desde las políticas de seguridad de la información escritas proporcionan el modelo para todo el programa de seguridad, es fundamental que se dirigen a los controles lógicos, técnicos y de gestión de claves necesarias para reducir el riesgo a la organización. Los ejemplos incluyen el control de acceso, autenticación de usuarios, seguridad de red, controles de medios, la seguridad física, la respuesta a incidentes, y la continuidad del negocio. Mientras que el perfil exacto de cada organización es diferente, muchas organizaciones pueden mirar a los requisitos reglamentarios para definir la cobertura de temas de políticas de seguridad para su organización. Por ejemplo, las empresas de salud dentro de los Estados Unidos deben tener en cuenta los requisitos de la ley HIPAA, compañías de servicios financieros deben abordar la Ley Gramm-Leach-Bliley (GLBA), mientras que las organizaciones que almacenan y procesar tarjetas de crédito deben seguir los requisitos de PCI-DSS.

5. Una conciencia política y Verified Audit Trail

documentos de política de seguridad no serán eficaces a menos que sean leídas y entendidas por todos los miembros de la audiencia objetivo previsto para cada documento. Para algunos documentos, como una Política de Uso Aceptable de Internet o Código de Conducta, el público objetivo es probable que toda la organización. Cada documento de política de seguridad debe tener un correspondiente "pista de auditoría" que muestra qué usuarios han leído y reconocido el documento, incluyendo la fecha de acuse de recibo. Esta pista de auditoría debe hacer referencia a la versión específica de la política, para grabar el que se están aplicando políticas de tiempo durante el cual los períodos.

6. Un Proceso de Excepción Información Escrito Política de Seguridad

Puede ser imposible para cada parte de la organización a seguir todas las políticas de seguridad de la información publicada en todo momento. Esto es especialmente cierto si las políticas son desarrollados por el departamento de seguridad jurídica o información sin la participación de las unidades de negocio. En lugar de asumir que no habrá excepciones a la política, es preferible tener un proceso documentado para solicitar y aprobar excepciones a la política. Solicitudes de excepción por escrito deberán exigir la aprobación de uno o más gerentes dentro de la organización, y tienen un plazo definido (seis meses a un año) después de lo cual las excepciones serán revisadas de nuevo.

7. Regular Updates Política de Seguridad para reducir el riesgo

Los auditores, reguladores y tribunales federales han enviado consistentemente el mismo mensaje - Ninguna organización puede afirmar que está mitigando efectivamente riesgo cuando se tiene un conjunto incompleto, anticuado de políticas escritas. Políticas de seguridad escritas forman el "plan maestro" para todo el programa de seguridad de la información, y un programa efectivo deben ser monitoreados, revisados ​​y actualizados en base a un entorno empresarial en continuo cambio. Para ayudar a las organizaciones en esta tarea difícil, algunas empresas publican una biblioteca de las políticas de seguridad de la información escrita que se actualizan en función regularmente sobre las últimas amenazas de seguridad de la información, los cambios regulatorios y las nuevas tecnologías. Tales servicios pueden salvar muchas organizaciones de miles de dólares que mantienen políticas escritas Hotel  .;

desarrollo de negocios

  1. Crowdfunding: la respuesta a sus oraciones por inicio Capital
  2. Fotógrafos profesionales para todas sus necesidades de fotografía
  3. Nube de PBX - Negocios Orientado Phone System
  4. Qué Bronceado sin sol es y cómo usted puede beneficiarse de ella Hoy
  5. ¿Por qué usted debe comprar Software para Gestión de archivos
  6. Ideas daños Remediación Agua
  7. San Antonio Apartments- Dándole Una Mejor Experiencia de Vida
  8. ¿Entiendes duplicación de DVD
  9. Corrección del código de Java para una mejor Desarrollo de Sitios Web
  10. Esquemas Canal de Marketing Socio
  11. Funcionamiento del circuito cerrado de televisión
  12. Telemarketing Patinazos usted debe evitar
  13. Contrata iPad desarrollador de exquisita y servicios personalizados
  14. Cloud Computing y su impacto en su negocio
  15. Exploración de Estudios en el Extranjero Programas
  16. Buscando polytunnels de alta calidad para la venta?
  17. TermWiki El recurso esencial Cada estudiante universitario debe haber
  18. El precio de beneficio!
  19. Jerry Hart: Una Personalidad Multitaskular
  20. Construcción de Edificios está bien diseñado y planificado por los arquitectos Mejor Residenciale…