Siete Claves para el Desarrollo de Políticas de Seguridad de la Información
¿Cómo madura es su programa de política de seguridad de la información? ¿Tiene un conjunto de documentos obsoletos almacenados en un sitio ligante o intranet? ¿O usted tiene un programa de gestión documentado que mantiene sus políticas hasta la fecha, los usuarios informados y sus auditores internos para dormir por la noche?
En este artículo revisamos siete características clave de un programa de gestión de la política de seguridad de la información eficaz. Estos elementos están vaciados de nuestras prácticas líderes, los marcos de seguridad de la información y la privacidad, y los incidentes relacionados con las políticas de seguridad de la información. Las organizaciones pueden utilizar esta lista de verificación para evaluar la madurez de sus políticas de seguridad de la información existentes.
1. Escrito Documentos de Información Política de seguridad con control de versiones
A pesar de que parece estándar de seguridad obvio, casi todos los de información y marco requiere específicamente que las políticas de seguridad de la información para ser escrito. Dado que las políticas de seguridad de información escritos definen expectativas de la administración y los objetivos establecidos para la protección de la información, las políticas no pueden ser "implícita" - pero tienen que ser documentado. Tener un "documento de política de seguridad escrita" es la primera tecla de control establecido en la norma internacional ISO /IEC 1-7.799: 2005 (ISO 27002), y es fundamental para la realización de auditorías internas y externas. Pero ¿cuáles son algunas de las características que hacen que un documento de política efectiva escrito?
2. Política Definido Documento Propiedad
Cada información de documento de política de seguridad por escrito debe tener un propietario o autor definido. Esta declaración de la propiedad es el vínculo entre las políticas escritas y el reconocimiento de la responsabilidad de la administración para la actualización y el mantenimiento de las políticas de seguridad de la información. El autor también proporciona un punto de contacto si alguien en la organización tiene una pregunta acerca de los requisitos específicos de cada política. Algunas organizaciones han escrito las políticas de seguridad de la información que son tan fuera de la fecha en la que el autor ya no es empleado de la organización.
3. Grupos de usuarios específicas para cada Directiva de seguridad
No todas las políticas de seguridad de la información son apropiados para cada función en la empresa. Por lo tanto, los documentos de política de seguridad de información por escrito deben ser dirigidos a públicos específicos con la organización. Lo ideal sería que estas audiencias deben estar alineados con los roles de usuario funcionales dentro de la organización.
Por ejemplo, todos los usuarios podrían tener que revisar y reconocer Internet Use políticas aceptables. Sin embargo, tal vez sólo un subconjunto de usuarios sería necesario para leer y reconocer una política informática móvil que defina los controles necesarios para el trabajo en casa o en la carretera. Los empleados que ya se enfrentan a la sobrecarga de información. Simplemente colocando cada póliza de seguridad de la información en la intranet y pidiendo a la gente a leer, en realidad estás pidiendo a nadie que leerlos
.
4. Cobertura Tema Integral de Información de Seguridad
Desde las políticas de seguridad de la información escritas proporcionan el modelo para todo el programa de seguridad, es fundamental que se dirigen a los controles lógicos, técnicos y de gestión de claves necesarias para reducir el riesgo a la organización. Los ejemplos incluyen el control de acceso, autenticación de usuarios, seguridad de red, controles de medios, la seguridad física, la respuesta a incidentes, y la continuidad del negocio. Mientras que el perfil exacto de cada organización es diferente, muchas organizaciones pueden mirar a los requisitos reglamentarios para definir la cobertura de temas de políticas de seguridad para su organización. Por ejemplo, las empresas de salud dentro de los Estados Unidos deben tener en cuenta los requisitos de la ley HIPAA, compañías de servicios financieros deben abordar la Ley Gramm-Leach-Bliley (GLBA), mientras que las organizaciones que almacenan y procesar tarjetas de crédito deben seguir los requisitos de PCI-DSS.
5. Una conciencia política y Verified Audit Trail
documentos de política de seguridad no serán eficaces a menos que sean leídas y entendidas por todos los miembros de la audiencia objetivo previsto para cada documento. Para algunos documentos, como una Política de Uso Aceptable de Internet o Código de Conducta, el público objetivo es probable que toda la organización. Cada documento de política de seguridad debe tener un correspondiente "pista de auditoría" que muestra qué usuarios han leído y reconocido el documento, incluyendo la fecha de acuse de recibo. Esta pista de auditoría debe hacer referencia a la versión específica de la política, para grabar el que se están aplicando políticas de tiempo durante el cual los períodos.
6. Un Proceso de Excepción Información Escrito Política de Seguridad
Puede ser imposible para cada parte de la organización a seguir todas las políticas de seguridad de la información publicada en todo momento. Esto es especialmente cierto si las políticas son desarrollados por el departamento de seguridad jurídica o información sin la participación de las unidades de negocio. En lugar de asumir que no habrá excepciones a la política, es preferible tener un proceso documentado para solicitar y aprobar excepciones a la política. Solicitudes de excepción por escrito deberán exigir la aprobación de uno o más gerentes dentro de la organización, y tienen un plazo definido (seis meses a un año) después de lo cual las excepciones serán revisadas de nuevo.
7. Regular Updates Política de Seguridad para reducir el riesgo
Los auditores, reguladores y tribunales federales han enviado consistentemente el mismo mensaje - Ninguna organización puede afirmar que está mitigando efectivamente riesgo cuando se tiene un conjunto incompleto, anticuado de políticas escritas. Políticas de seguridad escritas forman el "plan maestro" para todo el programa de seguridad de la información, y un programa efectivo deben ser monitoreados, revisados y actualizados en base a un entorno empresarial en continuo cambio. Para ayudar a las organizaciones en esta tarea difícil, algunas empresas publican una biblioteca de las políticas de seguridad de la información escrita que se actualizan en función regularmente sobre las últimas amenazas de seguridad de la información, los cambios regulatorios y las nuevas tecnologías. Tales servicios pueden salvar muchas organizaciones de miles de dólares que mantienen políticas escritas Hotel  .;
auto ayuda general
- Consigue atornillado Con Tornillo de cabeza hueca
- El sistema que sin duda Cambie su hogar
- Métodos sencillos Cómo quitar las manchas de tinta - Segunda Parte
- Disfrute de cada día como se puede
- Un regalo personalizado en general, es una sorpresa maravillosa
- Haga de su hogar hermoso
- Café de la bebida de manera saludable con estos consejos
- Cómo hacer que tu ex novia de Chase Usted-Cómo obtener su ex novia a lamentar Losing You
- Cómo presentar una queja contra su abogado
- Grandes planes para trabajar la madera para el hogar Proyectos
- Chanel 2.55 Misa Ley de medios y también los derechos de la mujer en la India
- La falacia de fuerzas externas
- Spots de limpieza duros Fuera de encendedor Alfombra
- La religión que todos pertenecemos a!
- Forma comprobada de matar cucarachas en un instante
- . Vehículos accesibles en silla de ruedas más se modifican en el mercado secundario, pero los vehí…
- Crear un remanso con cortinas al aire libre
- Recogiendo la guitarra que es adecuado para usted
- Consejos y trucos para la compra de tuberías Benders
- Alfombra se quedará mucho tiempo con el cuidado apropiado