Innehållsförteckning:
Video: Webbinarie: Reviderad läroplan för förskolan 2024
Säkerhetspolicyer, standarder, förfaranden och riktlinjer skiljer sig olika från varandra, men de interagerar också med varandra i en mängd av sätt. Det är viktigt att förstå dessa skillnader och relationer, och också att känna igen de olika typerna av policyer och deras tillämpningar.
För att framgångsrikt kunna utveckla och genomföra informationssäkerhetspolicyer, standarder, riktlinjer och förfaranden måste du se till att dina ansträngningar överensstämmer med organisationens uppdrag, mål och mål.
Politik, standarder, rutiner och riktlinjer arbetar tillsammans som ritningar för ett framgångsrikt informationssäkerhetsprogram. De
- Skapa styrelse.
- Ge värdefull vägledning och beslutsstöd.
- Hjälp att skapa rättslig auktoritet.
För ofta implementeras tekniska säkerhetslösningar utan dessa viktiga ritningar. Resultaten är ofta dyra och ineffektiva kontroller som inte tillämpas enhetligt och stöder inte en övergripande säkerhetsstrategi.
Governance är en term som kollektivt representerar systemet med policyer, standarder, riktlinjer och förfaranden som hjälper till att styra en organisations dagliga verksamhet och beslut.
Politik
A säkerhetspolitik utgör grunden för en organisations informationssäkerhetsprogram. RFC 2196, Webbsäkerhetshandboken, definierar en säkerhetspolicy som "ett formellt uttalande om regler genom vilka personer som får tillgång till en organisations tekniska och informationstillgångar måste följa. ”
De fyra huvudtyperna av politik är- Senior Management: En förvaltningsdeklaration på hög nivå om organisationens säkerhetsmål, organisatoriska och individuella ansvarsområden, etik och övertygelse samt allmänna krav och kontroller.
- Regulatory: Mycket detaljerad och koncis politik som vanligtvis mandat av federala, statliga, industriella eller andra juridiska krav.
- Rådgivande: Ej obligatorisk, men rekommenderas, ofta med specifika påföljder eller konsekvenser för bristande efterlevnad. De flesta politikområden omfattas av denna kategori.
- Informativ: Endast informerar, utan några uttryckliga krav på överensstämmelse.
Standarder, rutiner och riktlinjer stöder delar av en policy och ger specifika implementeringsdetaljer om politiken.
ISO / IEC 27002, Informationsteknik - Säkerhetsteknik - Kod för informationssäkerhetshantering, är en internationell standard för informationssäkerhetspolitik.ISO / IEC är International Organization for Standardization och International Electrotechnical Commission. ISO / IEC 27002 består av 12 sektioner som i stor utsträckning (men inte fullständigt) överlappar de åtta (ISC) 2 säkerhetsdomänerna.
Standarder (och baslinjer)
Standarder är specifika, obligatoriska krav som ytterligare definierar och stöder högre nivåer. Till exempel kan en standard kräva användning av en specifik teknik, såsom ett minimikrav för kryptering av känslig data med AES. En standard kan gå så långt som att ange exakt varumärke, produkt eller protokoll som ska genomföras.
Baselines liknar och är relaterade till standarder. En baslinje kan vara användbar för att identifiera en konsekvent grund för en organisations säkerhetsarkitektur, med hänsyn till systemspecifika parametrar, som olika operativsystem. Efter att konsekventa baslinjer har fastställts kan lämpliga standarder definieras över hela organisationen.
Vissa organisationer ringer sina standarder för konfigurationsdokument (och andra kallar dem standardmiljöer) istället för baslinjer. Detta är en vanlig och godtagbar praxis.
Procedurer
Procedurer ger detaljerade instruktioner om hur man genomför specifika policyer och uppfyller kriterierna i standarder. Procedurer kan inkludera standard operativa procedurer (SOP), kör böcker och användarhandböcker. Exempelvis kan ett förfarande vara en stegvis guide för kryptering av känsliga filer genom att använda en viss programvarukrypteringsprodukt.
Riktlinjer
Riktlinjer liknar standarder men de fungerar som rekommendationer snarare än som obligatoriska krav. En riktlinje kan till exempel ge tips eller rekommendationer för att bestämma känsligheten för en fil och om kryptering krävs.
