it-swarm-es.com

¿Qué problemas son los más importantes para cubrir en la política de seguridad corporativa?

¿Qué pasa con una política de privacidad? Tanto interno, como externo.

5
AviD

puntos clave :

Debe describir la aceptación de seguridad/apetito de la organización para que las normas que respalden la política se puedan definir en el entorno correcto.

También necesita definir responsabilidades, propiedad y patrocinio.

Actualizado solo para proporcionar algunos ejemplos, ya que dejé esta bonita luz. A un nivel alto, debe tener en las políticas mínimas para permitirle medir, comprender y regular su riesgo de tecnología. Estos también se requerirán desde una perspectiva de gobierno en muchos entornos,

  • Política de seguridad de la información
  • Política de clasificación de información
  • Política de uso aceptable
  • Política de retención de datos
  • Política de protección de datos
  • Política de evaluación de riesgos

Es probable que también desee ver lo siguiente si proporciona servicios o productos a organizaciones más grandes, ya que pueden ejecutar un plan de gobierno que incluye a sus terceros.

  • Política de responsabilidad social y corporativa.
  • Política de medio ambiente
  • Política de igualdad de oportunidades

En el Reino Unido, debe definir sus requisitos de protección de datos con respecto a la Ley de protección de datos de 1998. También debe construir su marco de políticas tomando en cuenta la familia de estándares ISO27001, como muchas auditorías y evaluaciones de seguridad para el regulador y para la pieza de TI La auditoría estatutaria se estructura alrededor de 27001.

7
Rory Alsop

Una política de seguridad corporativa debe ser corta, fácil de leer y en términos generales. Básicamente, debe enumerar cuáles son las amenazas y riesgos generales para el negocio y el enfoque general de mitigarlos.

Por ejemplo, si tiene una empresa que tiene una empresa que está en los datos que almacena en una base de datos, una política de seguridad corporativa puede indicar que la base de datos debe estar protegida con controles de seguridad de varios niveles, incluidos los controles de acceso a la red y los controles de cifrado, y quizás los datos sensibles debe almacenarse en sistemas que existan bajo estricto control de cambios.

La implementación de esos detalles dependerá de manera más específica en el propio sistema y las tecnologías estandarizadas elegidas por parte del negocio, por lo que debe detallarse en la documentación de nivel inferior.

5
growse

Estoy de acuerdo con los comentarios anteriores, la política "correcta" depende en gran medida de su organización.

Sin embargo, puede ser útil revisar la serie ISO/IEC 27000, que es un conjunto de estándares para la gestión de la seguridad de la información a menudo adoptada por grandes organizaciones de TI ( http://en.wikipedia.org/wiki/iso/ IEC_27001 , http://iso-17799.safemode.org/ ).

Por ejemplo, 27002 es un "código de práctica" que cubre cosas como:

  • Evaluación y tratamiento de riesgos.
  • Politica de seguridad
  • Organización de seguridad
  • Clasificación y control de activos.
  • Personal de Seguridad
  • Seguridad física y ambiental.
  • Gestión de comunicaciones y operaciones.
  • Control de acceso
  • Desarrollo y mantenimiento del sistema.
  • Gestión de incidentes de seguridad de la información.
  • Gestión de la continuidad del negocio
  • Cumplimiento

Incluso si no lo adopta completamente, comenzaría con ese estándar para desarrollar un borrador de la tabla de contenido para su política.

5
Dan

Eso depende: ¿Cuáles son los mayores riesgos para su negocio? La política de seguridad no debe ser sobre el mandato de antivirus porque todos los niños geniales tienen antivirus, debe ser comprender qué amenazas es más importante que :sted mitigar y definir una estrategia (aunque no es táctica ) Para realizar tal mitigación.

1
user185