组织通常会针对各种需求创建多个IT策略:灾难恢复、数据分类、数据隐私、风险评估、风险管理等。这些文件通常是相互关联的,并为组织提供了一个框架来设置值以指导决策和响应。组织还需要信息安全策略。这种类型的政策提供控制和程序,帮助确保员工正确使用IT资产。本文解释了创建信息安全策略的好处、它应该包含的元素以及成功的最佳实践。什么是信息安全政策?美国国家科学技术研究院(NIST)将信息安全策略定义为“指示组织如何管理、保护和分发信息的指令、法规、规则和实践的集合”。由于组织有不同的业务要求、合规义务和人员配置,因此没有适用于所有人的单一信息安全策略。相反,每个IT部门都应该确定最能满足其特定需求的策略选项,并创建一份由高级利益相关者批准的简单文档。信息安全政策有什么好处?信息安全策略至关重要,原因如下:(1)确保数据的机密性、完整性和可用性制定可靠的策略来识别和减轻数据机密性、完整性和可用性风险(称为CIA三元组)提供适当的步骤来响应问题。(2)帮助最大限度地降低风险信息安全策略详细说明了组织如何发现、评估和缓解IT漏洞以阻止安全威胁,以及在系统中断或数据泄露后用于恢复的过程。(3)在整个组织内协调和执行安全计划任何安全计划都需要创建一个有凝聚力的信息安全策略。这有助于防止部门决策出现分歧,或者更糟的是,部门根本没有政策。该策略定义了组织如何识别不执行有用安全功能的无关工具或流程。(4)向第三方和外部审计员传达安全措施编码的安全策略使组织能够轻松地将其围绕IT资产和资源的安全措施传达给员工和内部利益相关者,以及外部审计员、承包商和其他第三方。(5)为了帮助组织遵守全面的安全策略,组织通过国外HIPAA和CCPA等安全标准和法规的合规性审核非常重要。在我国,要实施网络安全等级保护、关键信息基础设施安全保护等,合规性非常重要。审计师通常要求公司提供有关其内部控制的文档,信息安全政策可帮助组织证明已执行所需任务,例如:定期评估当前IT安全政策的充分性执行风险评估以检测和缓解技术或工作中的漏洞现有系统在数据完整性、网络安全方面的过程分析效率制定信息安全政策时有哪些好的资源可以参考?制定信息安全策略可能是一项艰巨的任务。以下框架对如何制定和维护安全策略提供了指导:网络安全等级保护——网络安全等级保护是我国网络安全领域的基本制度和基本国策。通过一套系统的要求和实施,确保网络达到基线安全。COBIT—COBIT专注于安全、风险管理和信息治理,对于萨班斯-奥克斯利法案(SOX)合规性特别有价值。NIST网络安全框架——该框架提供与风险分析和风险管理的五个阶段相一致的安全控制:识别、保护、检测、响应和恢复。它通常用于关键基础设施领域,例如水、交通和能源生产。ISO/IEC27000——国际标准化组织的这个系列是最广泛的框架之一。它可以适用于所有类型和规模的组织,并为特定行业设计了各种子标准。例如,ISO27799解决医疗保健信息安全问题,对遵守HIPAA的组织非常有用。该系列的其他标准适用于云计算、数字证据收集和存储安全等领域。此外,各种组织发布了数据安全策略模板,可以根据需要对其进行编辑而不是从头开始。信息安全策略的关键要素是什么?一般来说,信息安全策略应包括以下几个部分:(1)目的:明确安全策略的目的。请务必确定政策旨在帮助组织遵守的任何法规或法律。(2)范围:详细说明策略所涵盖的内容,例如计算机和其他IT资产、数据存储库、用户、系统和应用程序。(3)时间表:指定政策的生效日期。(4)权威:确定支持该政策的个人或实体,例如公司所有者或董事会。(5)政策合规性:列出数据安全政策旨在帮助组织遵守的任何法规,例如HIPAA、SOX、PCIDSS或GLBA。(6)文本:描述每个领域的程序、过程和控制:资产和信息分类和控制:描述如何通过安全分类标记数据和应用控制以确保适当的数据保护。信息保留:描述数据将如何存储和备份,并执行保留计划。人事安全:有关人事事宜的详细安全程序,例如保密协议和人员筛选。身份和访问管理:描述管理用户访问、权限和密码的策略。请务必注意基于用户角色和职责的特殊要求,例如要求对安全操作人员进行强身份验证。本节还确定了网络安全和应用程序访问控制以及云安全。变更管理和事件管理:定义响应可能影响IT系统的机密性、完整性或可用性的变更的程序。还要详细说明针对安全漏洞或系统故障的适当事件响应程序,以及谁将负责这些任务。可接受的使用政策:描述个人如何使用组织的网络、互联网访问或设备??用于商业和个人用途。详细说明不同群体(如员工、承包商、志愿者或公众)的任何差异。防病毒和补丁管理:指定应用防病毒更新和软件补丁的程序。物理和环境安全:围绕物理安全制定信息安全标准,例如上锁的门和受控访问区域。通信和运营管理:描述系统规划和验收、内容备份和漏洞管理等领域的运营程序和职责。信息和软件交换:概述与外部各方交换数据或软件的适当步骤。本节特别适用于与第三方合作或必须响应客户或第三方的数据请求的组织。确保遵守隐私政策。加密控制:指定加密的必要用途以实现安全目标,例如加密电子邮件附件或存储在笔记本电脑上的数据。(7)用户培训:描述用户必须接受的安全意识和其他培训,以及负责制定和实施培训的团队。(8)联系人:指定负责创建和编辑信息安全政策文件的人员或团队。(9)版本历史:跟踪所有政策修订。包括每次更新的日期和作者。创建良好的安全策略需要遵循哪些最佳实践?遵循这些最佳实践将帮助组织制定有效的信息安全战略:获得高管的支持。如果最高领导层签署,该政策将更容易实施和执行。列出所有适用的安全规定。请务必熟悉管理您所在行业的所有法规,因为它们会严重影响政策内容。评估系统、流程和数据。在起草文件之前,请先熟悉贵组织的当前系统、数据和工作流程。这将需要与商业伙伴的密切合作。为您的组织定制政策。确保政策与组织的需求相关。花时间阐明政策的目标并确定其范围。识别风险。为了概述适当的风险应对程序,组织必须识别潜在风险。许多组织通过风险评估来做到这一点。对新的安全控制持开放态度。根据已识别的风险,组织可能需要采用新的安全措施。彻底记录程序。信息安全策略的许多方面都依赖于它描述的程序。有时员工已经在执行这些工作流程,因此此步骤只需要将它们写下来。在所有情况下,这些程序都经过测试以确保它们是准确和完整的。教育和培训。仅作为文档存在的策略无法实现信息安全。确保所有员工都接受过有关安全政策和合规实践内容的培训。常见问题(1)什么是安全策略?安全策略是一份书面文件,它为使用IT资产和资源的个人建立了组织的标准和程序。(2)为什么安全策略很重要?安全策略对于解决信息安全威胁和制定策略和程序以减轻IT安全风险是必要的。(3)好的安全策略的关键组成部分是什么?强大的IT安全策略的基础是对组织的IT安全计划目标的清晰描述,包括所有适用的合规性标准。该政策还将详细说明组织将用于正确管理、保护和分发信息的流程和控制措施。(4)最常见的安全策略失败是什么?最常见的失败点是用户对政策内容缺乏了解。如果没有适当的用户培训和执行,即使是最好的安全策略也会产生错误的安全感,使关键资产面临风险。
