Chính sách bảo mật của tổ chức có một số đặc điểm quan trọng phải hiểu và thực hiện
tải về 16.59 Kb.
|
BCTT-71-11
|
Chính sách bảo mật là một tuyên bố chung tổng thể được đưa ra bởi quản lý cấp cao (hoặc hội đồng chính sách hoặc ủy ban được lựa chọn) quy định vai trò của bảo mật trong cơ quan. Chính sách bảo mật có thể là chính sách tổ chức, chính sách dành riêng cho vấn đề hoặc một chính sách dành riêng cho hệ thống. Trong chính sách bảo mật của tổ chức, ban quản lý thiết lập cách thức một chương trình bảo mật sẽ được thiết lập, đưa ra các mục tiêu của chương trình, phân công trách nhiệm, cho thấy giá trị chiến lược và chiến thuật của an ninh, đồng thời vạch ra cách thức thực thi được thực hiện. Chính sách này phải giải quyết các vấn đề liên quan đến luật, quy định và trách nhiệm pháp lý và làm thế nào để họ được hài lòng. Chính sách bảo mật của tổ chức cung cấp phạm vi và chỉ thị cho tất cả các hoạt động an ninh trong tương lai trong tổ chức. Nó cũng mô tả số lượng của quản lý cấp cao rủi ro sẵn sàng chấp nhận. Chính sách bảo mật của tổ chức có một số đặc điểm quan trọng phải hiểu và thực hiện: • Các mục tiêu kinh doanh phải thúc đẩy việc tạo, thực hiện chính sách và thực thi. Chính sách không nên áp đặt các mục tiêu kinh doanh. • Nó phải là một tài liệu dễ hiểu được sử dụng làm điểm tham khảo cho tất cả nhân viên và quản lý. • Nó nên được phát triển và sử dụng để tích hợp bảo mật vào tất cả các chức năng kinh doanh và các quy trình. • Nó phải được bắt nguồn từ và hỗ trợ tất cả các luật và quy định áp dụng cho công ty. • Nó nên được xem xét và sửa đổi khi công ty thay đổi, chẳng hạn như thông qua áp dụng một mô hình kinh doanh mới, sáp nhập với một công ty khác hoặc thay đổi quyền sở hữu. • Mỗi lần lặp lại của chính sách phải được ghi ngày và dưới sự kiểm soát của phiên bản. • Các đơn vị và cá nhân chịu sự điều chỉnh của chính sách phải dễ dàng tiếp cận với nó. Các chính sách thường được đăng trên các cổng thông tin trên mạng nội bộ. • Nó nên được tạo ra với mục đích đưa ra các chính sách cho một số nhiều năm tại một thời điểm. Điều này sẽ giúp đảm bảo các chính sách đủ hướng tới tương lai để đối phó với những thay đổi tiềm ẩn có thể phát sinh. • Mức độ chuyên nghiệp trong việc trình bày các chính sách củng cố tầm quan trọng cũng như sự cần thiết phải tuân thủ chúng. • Nó không được chứa ngôn ngữ mà mọi người không dễ hiểu. Sử dụng tuyên bố rõ ràng và dễ hiểu và dễ hiểu. • Nó nên được xem xét một cách thường xuyên và điều chỉnh để sửa chữa các sự cố mà đã xảy ra kể từ lần xem xét và sửa đổi các chính sách gần đây nhất. Quy trình đối phó với những người chọn không tuân thủ bảo mật các chính sách phải được phát triển và thực thi để có một phương pháp có cấu trúc để đáp ứng không tuân thủ. Điều này thiết lập một quy trình mà những người khác có thể hiểu và do đó nhận ra không chỉ những gì được mong đợi ở họ, mà còn là những gì họ có thể mong đợi như một phản ứng đối với không tuân thủ. Các chính sách tổ chức cũng được gọi là các chính sách bảo mật tổng thể. Một tổ chức sẽ có nhiều chính sách và chúng phải được thiết lập theo cách phân cấp. Các chính sách tổ chức (chính) ở cấp cao nhất và sau đó có các chính sách bên dưới nó giải quyết các vấn đề bảo mật một cách cụ thể. Đây được gọi là các chính sách dành riêng cho từng vấn đề. Chính sách dành riêng cho vấn đề, còn được gọi là chính sách chức năng, giải quyết các vấn đề bảo mật cụ thể rằng ban quản lý cảm thấy cần giải thích chi tiết hơn và chú ý để đảm bảo cấu trúc toàn diện được xây dựng và tất cả nhân viên hiểu cách họ tuân thủ với các vấn đề bảo mật này. Ví dụ: một tổ chức có thể chọn có một e-mail chính sách bảo mật nêu rõ những điều quản lý có thể và không thể làm với e-mail của nhân viênthư cho mục đích giám sát, chỉ định nhân viên chức năng e-mail nào có thể hoặc không thể sử dụng, và điều đó giải quyết các vấn đề riêng tư cụ thể. Ví dụ cụ thể hơn, chính sách e-mail có thể nêu rằng ban quản lý có thể đọc bất kỳ thư e-mail nào của nhân viên nằm trên máy chủ thư, nhưng không phải khi họ cư trú trên máy trạm của người dùng. Chính sách e-mail cũng có thể nêu rõ rằng nhân viên không thể sử dụng e-mail để chia sẻ thông tin bí mật hoặc chuyển tài liệu không phù hợp, và họ có thể bị giám sát các hành động này. Trước khi họ sử dụng ứng dụng e-mail của mình, nhân viên phải được yêu cầu xác nhận rằng họ đã đọc và hiểu e-mail chính sách, bằng cách ký vào tài liệu xác nhận hoặc nhấp vào Có trong xác nhận hộp thoại. Chính sách cung cấp định hướng và cấu trúc cho nhân viên bằng cách chỉ ra những gì họ có thể và không thể làm. Nó thông báo cho người dùng về những mong đợi về hành động của họ và nó cung cấp bảo vệ trách nhiệm trong trường hợp một nhân viên khóc "hôi" vì bất kỳ lý do gì để giải quyết sử dụng e-mail. Lời khuyên : Một chính sách cần phải độc lập về công nghệ và giải pháp. Nó phải vạch ra các mục tiêu và sứ mệnh, nhưng không ràng buộc tổ chức với những cách thức cụ thể hoàn thành chúng. Ví dụ:
mối quan hệ giữa chính sách tổng thể và các chính sách dành riêng cho từng vấn đề hỗ trợ nó: • Chính sách tổ chức • Sự cho phép của chính trị • Chính sách quản lý rủi ro • Chính sách quản lý lỗ hổng bảo mật • Chính sách bảo vệ dữ liệu • Chính sách kiểm soát truy cập • Chính sách liên tục kinh doanh • Chính sách kiểm toán và tổng hợp nhật ký • Chính sách an ninh nhân sự • Chính sách bảo mật vật lý • Chính sách phát triển ứng dụng an toàn • Thay đổi chính sách kiểm soát • Chính sách e-mail • Chính sách ứng phó sự cố Chính sách dành riêng cho hệ thống trình bày các quyết định của ban quản lý cụ thể đối với máy tính, mạng và ứng dụng thực tế. Một tổ chức có thể có một hệ thống- chính sách cụ thể phác thảo cách thức một cơ sở dữ liệu chứa thông tin nhạy cảmđược bảo vệ, ai có thể có quyền truy cập và cách thức kiểm tra diễn ra. Nó cũng có thể có một chính sách dành riêng cho hệ thống nêu rõ cách khóa và quản lý máy tính xách tay. Đây loại chính sách hướng đến một hoặc một nhóm các hệ thống tương tự và vạch ra cách chúng nên được bảo vệ. Các chính sách được viết theo nghĩa rộng để bao gồm nhiều đối tượng một cách tổng quát. Nhiều cần chi tiết hơn để thực sự hỗ trợ chính sách và điều này xảy ra với việc sử dụng quy trình, tiêu chuẩn, hướng dẫn và đường cơ sở. Chính sách cung cấp nền tảng. Các thủ tục, tiêu chuẩn, hướng dẫn và đường cơ sở cung cấp khuôn khổ bảo mật. Và các biện pháp kiểm soát bảo mật cần thiết (quản trị, kỹ thuật và vật lý) được sử dụng để điền vào khuôn khổ để cung cấp một chương trình bảo mật đầy đủ. Các loại chính sách Các chính sách thường thuộc một trong các loại sau: • Quy định Loại chính sách này đảm bảo rằng tổ chức đang tuân thủ các tiêu chuẩn do các quy định cụ thể của ngành thiết lập (HIPAA, GLBA, SOX, PCI DSS, v.v.). Nó rất chi tiết và cụ thể cho một loại ngành. Nó được sử dụng trong các tổ chức tài chính, cơ sở chăm sóc sức khỏe, tiện ích công cộng, và các các ngành do chính phủ quản lý. • Tư vấn Loại chính sách này tư vấn mạnh mẽ cho nhân viên về việc các loại hành vi và hoạt động nên và không nên diễn ra trong tổ chức. Nó cũng chỉ ra các phân nhánh có thể xảy ra nếu nhân viên làm không tuân thủ các hành vi và hoạt động đã được thiết lập. Loại chính sách này có thể được sử dụng, ví dụ, để mô tả cách xử lý y tế hoặc tài chính thông tin. • Thông tin Loại chính sách này thông báo cho nhân viên về các chủ đề nhất định. Nó không phải là một chính sách có thể thực thi, mà là một chính sách dạy các cá nhân về các vấn đề cụ thể liên quan đến công ty. Nó có thể giải thích cách công ty tương tác với các đối tác, mục tiêu và sứ mệnh của công ty cũng như cấu trúc báo cáo trong các tình huống khác nhau. tải về 16.59 Kb. Chia sẻ với bạn bè của bạn:
|