如何编写信息安全策略

信息安全策略是信息安全计划的基石。它应该反映组织'的安全目标和用于保护信息的商定管理策略。

信息安全策略是信息安全计划的基石。它应该反映组织'的安全目标和用于保护信息的商定管理策略。

Gartner将在即将到来的信息安全峰会上概述安全趋势

为了在授权执行信息安全程序的其余部分时有用,还必须由执行管理层正式同意。这意味着,为了编写信息安全策略文档,组织必须具有明确的安全目标和用于保护信息安全的商定管理策略。如果对该政策的内容进行辩论,则辩论将在随后的所有实施中继续进行,其结果是信息安全计划本身将无法正常运行。

另请参阅CSOonline.com的IT安全管理:基础知识

市场上有大量的即用型安全策略产品,但是其中很少有高级管理层会正式同意,而不会由安全专业人员进行详细解释。由于执行管理固有的时间限制,这种情况不太可能发生。即使有可能立即让管理层批准现成的策略,也不是试图教给管理层如何考虑安全性的正确方法。相反,组成安全策略的第一步是找出管理人员如何看待安全性。根据定义,安全策略是关于信息安全的一组管理任务,因此这些命令为安全专业人员提供了行进命令。相反,如果安全专业人员向执行管理人员提供授权以进行签名,则可能会忽略管理要求。

因此,负责制定安全策略的安全专业人员必须承担起海绵般的角色,并任命执行管理人员。海绵是一个很好的倾听者,无论团队在沟通技巧和文化上的多样性如何,海绵都能轻松吸收每个人的谈话内容。抄写员记录的内容如实,没有任何修饰或注释。一个好的海绵和抄写员将能够从管理层的访谈中捕捉到共同的主题,并就组织作为一个整体如何希望其信息受到保护做出积极的陈述。在政策执行过程中获得权威授权的时间和精力将得到回报。

征求管理层对信息安全的意见的良好面试问题是:

*您将如何描述您使用的不同类型的信息?

*您依靠哪种类型的信息来制定决策?

*是否有比其他人更需要关注的信息类型?

根据这些问题,可以开发信息分类系统(例如,客户信息,财务信息,市场营销信息等),并且可以在业务流程级别上描述每种信息的适当处理过程。 (编者注:另请参阅Jason Stradley关于数据分类和相关问题的挑衅性观点。)

当然,经验丰富的安全专家也将就如何将有关安全的管理意见转变为全面的组织策略提供建议。一旦明确安全专家完全理解管理层的意见,就应该有可能引入与其一致的安全框架。该框架将成为组织信息安全计划的基础,因此将作为创建信息安全策略大纲的指南。

另请参阅CSOonline.com的安全性和业务:通信101

通常,将安全行业标准文档用作基准框架。例如,安全论坛的良好做法标准( www.securityforum.org ),国际标准组织的安全管理系列(27001、27002、27005, www.iso.org ),以及信息系统审计与控制协会的信息技术控制目标(CoBIT, www.isaca.org )。这是一种合理的方法,因为它有助于确保不仅公司管理层而且外部审计师和可能与组织的信息安全计划有利益关系的其他人都接受该策略是足够的。

但是,这些文档本质上是通用的,没有说明安全性的特定管理目标。因此,必须将它们与管理输入结合起来以制定策略大纲。而且,期望组织的管理层更改组织的管理方式以符合标准文档是不合理的。而是,信息安全专业人员可以从这些文档中了解良好的安全管理实践,并查看是否有可能将其纳入目标组织的当前结构中。

安全策略必须始终反映实际做法,这一点很重要。否则,在发布策略之时,组织将不合规。最好将策略保留为每个人都同意并可以遵守的一小部分任务,而不是拥有组织中很少有人遵守的影响深远的策略。然后,信息安全计划可用来强制执行策略合规性,同时解决有争议的问题。

最好将政策保留为每个人都同意的一小部分授权,这是更好的另一个原因是,在人们意识到政策没有例外的情况下,他们通常会更愿意协助将其付诸实践。确保他们能够遵守未来的法规。一旦将诸如“可以通过联系负责……的执行人员来制定此政策的例外情况”之类的措辞纳入该政策本身或使用该政策的程序中,该文档将变得毫无意义。它不再代表管理层对信息安全计划的承诺,而是表示怀疑该策略将不可行。安全专业人员应考虑,如果这种语言成为人力资源或会计政策中的一部分,则可能因此而免于性骚扰或费用报告欺诈。安全专业人员应努力确保遵守与组织内实施的其他策略相同级别的信息安全策略。应以确保执行管理层之间完全共识的方式设计政策语言。

例如,假设存在关于用户是否应该访问可移动媒体(例如USB存储设备)的争论。安全专业人员可能认为永远不需要这种访问,而技术主管可能会认为负责数据操纵的技术运营部门必须具有在任何类型的介质上移动数据的能力。在政策级别,以共识驱动的方法将产生一个一般性声明,即“对可移动媒体设备的所有访问均通过负责任的执行人员支持的流程来批准”。随着讨论的进行,可以进一步协商技术主管使用的批准流程的细节。通用政策声明仍然禁止没有负责任的高管支持批准流程的任何人使用可移动媒体设备。

在非常大的组织中,有关策略合规性替代方案的详细信息可能会有很大差异。在这些情况下,按目标受众隔离策略可能是合适的。这样,整个组织范围的策略就成为一项全局策略,仅包括安全任务的最小公分母。然后,不同的子组织可以发布自己的策略。当子策略文档的读者是组织的明确定义的子集时,这种分布式策略最有效。在这种情况下,无需寻求相同级别的管理承诺即可更新这些文档。

例如,信息技术操作策略只要与全球安全策略一致,就只需要信息技术部门负责人的批准,并且仅增加管理层对整体一致的安全策略的承诺。它可能包括诸如“应仅向授权的管理员提供能够实现操作系统配置更改的访问权限”和“仅在授权的更改控制过程的上下文中访问通用ID的密码”之类的指令。另一种类型的子策略可能涉及不同部门中的人员从事某种异常活动,但这些活动仍受到类似的安全控制,例如外包信息处理或加密电子邮件通信。

另一方面,不应使适用于所有用户的特定于主题的策略起草新策略,而应将其添加为全局策略中的部分。不应鼓励包含整个组织范围内的任务的多个策略,因为多个策略源使对任何给定的单个用户实现一致级别的安全意识更加困难。建立足以覆盖预期社区中所有人的政策意识计划,而不必弄清为什么要创建一个时要创建多个策略文件的困难。例如,不需要在组织范围内对Internet访问进行新的限制就可以创建新的“ Internet Access”策略。而是可以将“ Internet访问”部分添加到全局安全策略中。使用子策略方法给安全专业人员的另一个警告是,要确保子策略不重复全球策略中的内容,同时要与之保持一致。必须禁止重复,因为这样会使策略文档在各自发展时变得不同步。而是,子文档应参考全局文档,并且两个文档应以方便读者的方式链接。

即使在给予子策略以应有的尊重的情况下,无论哪里存在可以以多种方式解释而又不损害组织对信息安全目标的承诺的信息安全指令,安全专业人员都应毫不犹豫地将其包含在任何策略中。应为任务保留政策。可以将替代实施策略声明为职责,标准,过程,程序或准则。这样可以在部门级别实现创新和灵活性,同时仍可以在策略级别上维护公司的安全目标。

这并不意味着相关的信息保护目标应从信息安全计划中删除。这仅意味着并非所有安全策略都可以在执行授权的策略级别上记录下来。随着信息安全计划的成熟,可以更新策略,但是不必进行策略更新就可以逐步提高安全性。使用其他类型的信息安全计划文档,可以不断提高其他共识。

需要考虑的补充文件有:

角色和职责-由安全小组以外的部门执行的安全职责的说明。例如,技术开发部门可以负责在部署代码之前测试安全漏洞,而人力资源部门可以负责维护当前员工和承包商的准确列表。

技术标准-为确保管理层可以控制对电子信息资产的访问而确定的技术配置参数和相关值的描述。

流程-演示不同部门执行的安全功能如何组合以确保安全的信息处理的工作流。

程序-逐步指导未经培训的人员以确保相关的预防,侦探和/或响应机制按计划工作的方式执行日常安全任务。

准则-遵循安全策略的最简单方法的建议,通常是为具有安全信息处理流程的多种选择的非技术用户编写的。

信息安全策略包括什么

这就提出了一个问题:信息安全策略要求包含的最少信息是什么?至少要传达有关安全性的管理目标和方向。它应包括:

1.范围-应该处理组织中的所有信息,系统,设施,程序,数据,网络和所有技术用户,无一例外

2.信息分类-应该提供针对特定内容的定义,而不是通用的“机密”或“受限”

3.可以安全地处理每个分类类别中的信息的管理目标(例如,法律,法规和合同的安全义务),也可以表述为通用目标,例如“客户隐私不需要授权明文访问除客户以外的任何人的客户数据代表,并且仅用于与客户沟通的目的”,“信息完整性要求在负责的工作职能范围内没有写访问权限”和“防止资产损失”)

1 2 Page 1
第1页,共2页