信息安全政策必备要素和技巧

组织经常为各种需求创建多个 IT 策略：灾难恢复、数据分类、数据隐私、风险评估、风险管理等。这些文件通常是相互关联的，并为组织提供了一个框架来设定价值以指导决策和响应。

什么是信息安全政策？

美国国家科学技术研究院 (NIST)将信息安全政策定义为“规定组织如何管理、保护和分发信息的指令、法规、规则和实践的集合”。

信息安全策略有什么好处？

出于以下原因，信息安全策略至关重要：

确保数据的机密性、完整性和可用性

帮助将风险降至最低

信息安全策略详细说明了组织如何发现、评估和缓解 IT 漏洞以阻止安全威胁，以及在系统中断或数据泄露后用于恢复的流程。

在整个组织内协调和执行安全计划

任何安全计划都需要创建一个有凝聚力的信息安全策略。这有助于防止出现分歧的部门决策，或者更糟的是，部门根本没有政策。该策略定义了组织如何识别不执行有用安全功能的无关工具或流程。

将安全措施传达给第三方和外部审计师

编纂安全策略使组织能够轻松地将其围绕 IT 资产和资源的安全措施传达给员工和内部利益相关者，还可以传达给外部审计师、承包商和其他第三方。

帮助组织合规

拥有完善的安全策略，在国外对于组织通过HIPAA 和CCPA等安全标准和法规的合规性审核非常重要，在我国则落实网络安全等级保护和关键信息基础设施安全保护等合规性非常重要。审计师通常会要求公司提供有关其内部控制的文档，而信息安全政策可帮助组织证明执行了所需的任务，例如：

• 定期评估当前 IT 安全策略的充分性

• 执行风险评估以发现和缓解技术或工作流程中的漏洞

• 分析现有系统在数据完整性、网络安全方面的功效

在制定信息安全政策时，有哪些好的资源可供参考？

制定信息安全策略可能是一项艰巨的任务。以下框架提供了有关如何制定和维护安全策略的指南：

• 网络安全等级保护—网络安全等级保护是我国网络安全领域的基本制度、基本国策。通过一套体系化的要求和实现，确保网络达到基线安全。

• COBIT — COBIT 专注于安全、风险管理和信息治理，对Sarbanes-Oxley (SOX) 合规性特别有价值。

• NIST 网络安全框架——该框架提供与风险分析和风险管理的五个阶段相一致的安全控制：识别、保护、检测、响应和恢复。它通常用于水务、交通和能源生产等关键基础设施领域。

•  ISO/IEC 27000 — 来自国际标准组织的这个系列是最广泛的框架之一。它可以适应各种类型和规模的组织，并针对特定行业设计了各种子标准。例如，ISO 27799 解决了医疗保健信息安全问题，对于受HIPAA 合规性约束的组织非常有用。该系列中的其他标准适用于云计算、数字证据收集和存储安全等领域。

此外，各种组织发布数据安全策略模板，可以对其进行编辑以满足需求，而不是从头开始。

信息安全政策的关键要素是什么？

1. 目的：阐明安全策略的目的。请务必确定该政策旨在帮助组织遵守的任何法规或法律。
2. 范围：详细说明属于该策略的内容，例如计算机和其他 IT 资产、数据存储库、用户、系统和应用程序。
3. 时间表：指定保单的生效日期。
4. 权威：确定支持政策的个人或实体，例如公司所有者或董事会。
5. 政策合规性：列出数据安全政策旨在帮助组织遵守的所有法规，例如 HIPAA、SOX、PCI DSS 或 GLBA。
6. 正文：描述每个领域的程序、过程和控制：
0. 资产和信息分类和控制：描述如何按安全分类标记数据并应用控制以确保适当的数据保护。
1. 信息保留：说明将如何存储和备份数据，并执行保留时间表。
2. 人员安全：有关人员事项的详细安全程序，例如保密协议和人员筛选。
3. 身份和访问管理：描述有关用户访问、权限和密码的管理策略。请务必注意基于用户角色和职责的特殊要求，例如需要安全操作人员进行强身份验证。本节还确定了网络安全和应用程序访问控制，以及云安全。
4. 变更管理和事件管理：定义响应可能影响 IT 系统机密性、完整性或可用性的变更的程序。还要详细说明针对安全隐患或系统故障的适当事件响应程序，以及负责这些任务的具体人员。
5. 可接受的使用政策：描述个人如何将组织的网络、互联网访问或设备用于商业和个人用途。详细说明不同群体的任何差异，例如员工、承包商、志愿者或公众
6. 防病毒和补丁管理：指定应用防病毒更新和软件补丁的程序。
7. 物理和环境安全：制定有关物理安全的信息安全标准，例如上锁的门和受控访问区域。
8. 通信和运营管理：描述系统规划和验收、内容备份和漏洞管理等领域的运营程序和职责。
9. 信息和软件交换：概述与外部各方交换数据或软件的适当步骤。本节特别适用于与第三方合作或必须响应客户或第三方数据请求的组织。确保符合隐私政策。
10. 加密控制：指定加密的必要用途以实现安全目标，例如加密电子邮件附件或存储在笔记本电脑上的数据。

7. 用户培训：描述用户必须接受的安全意识和其他培训，以及负责开发和实施培训的团队。

8. 联系人：指定负责创建和编辑信息安全策略文件的人员或团队。

9. 版本历史：跟踪所有政策修订。包括每次更新的日期和作者。

遵循这些最佳实践将帮助组织创建有效的信息安全策略：

• 获得高管的支持。如果最高领导层签署该政策，该政策将更容易实施和执行。
• 列出所有适当的安全法规。确保熟悉管理自己所在行业的所有法规，因为它们会严重影响政策内容。
• 评估系统、流程和数据。在起草文件之前，请先熟悉贵组织当前的系统、数据和工作流程。这将需要与业务伙伴密切合作。
• 为组织定制策略。确保该政策与组织的需求相关。花时间澄清政策的目标并确定其范围。
• 识别风险。要概述适当的风险应对程序，组织必须识别潜在风险。许多组织通过风险评估来做到这一点。
• 对新的安全控制持开放态度。根据识别的风险，组织可能需要采用新的安全措施。
• 彻底记录程序。信息安全政策的许多方面都依赖于它所描述的程序。有时，员工已经在执行这些工作流程，因此这一步只需将它们写下来。在任何情况下，都要测试这些程序以确保它们是准确和完整的。
• 教育培训。仅作为文档存在的策略无法实现信息安全。确保所有员工都接受有关安全政策内容和合规实践的培训。

常问问题

关注公众号

回复“220330”获取机翻版“网络态势感知小记”PDF版

回复“220403”获取“勒索软件二进制文件的经验比较分析”机翻PDF版

• 信息安全手册之网络安全角色指南
• 信息安全手册之网络安全事件指南
• 信息安全手册之外包指南
• 信息安全手册之安全文档指南

原文始发于微信公众号（祺印说信安）：信息安全政策必备要素和技巧