您应该制定的关键IT策略

您应该制定的关键IT策略

当我们在IT审计过程中与客户交谈时,我们经常会发现策略是一个问题,要么策略已经过时,要么根本就不到位。这通常源于没有人被指派担任永久安全角色的事实。当他们有时间的时候就让它去做。当然,它从来没有时间考虑安全性和法规遵从性,因为他们正在推出新的和修复上周的技术。

在下面的系列中,我们将在高层次上覆盖10个关键IT政策,以了解它们作为数据治理的基础的目的。以下不是完整的政策,但总结可作为培训目的的总体框架。

这一切都是从治理开始的,所以让我们首先考虑治理的FFIEC网络安全成熟度模型。请注意,当我们从基线转向高级时,下面的语句是如何更加详细和主动的,而不是通用的或模糊的。即: 基线:指定的管理层成员由董事会或适当的董事会委员会负责实施和管理信息安全和业务连续性计划。 高级:董事会或董事会委员会批准的网络风险偏好声明是企业范围风险偏好声明的一部分。

因此,现在我们有了我们的出发点—治理—我们现在可以继续执行至少10个IT策略。您的组织可能需要更多。我们将在本文中介绍五个,其余五个将在本系列的第2部分中介绍。

[还有CSO:为什么书面政策对您的网络战略至关重要]

我知道政策并不令人兴奋,也不是很多人喜欢写它们,但它们是系统安全管理的必要基础。政策不必太长或太冗长;如果你有太多或太复杂,他们可能会被忽略。关于政策,我们经常说“说你所做的,做你所说的”,这样就不会有人用它们来对付你。不要仅仅实现一个通用模板,除非你非常努力地将它变成你的模板,每个企业或小企业通常都是独一无二的,因此这些策略必须与文化、技术、法规遵从性标准和业务优先级相匹配!IE:在国防部环境下,风险偏好与汽车经销商截然不同。以下是应涵盖的IT政策:

目的: 告知所有用户技术的可接受使用。

AUP为所有员工提供了一个舞台,以确保他们了解道路规则。本保单承保 定义公司资源:公司的计算机网络、主机、文件服务器、应用服务器、通信服务器、邮件服务器、传真服务器等。 另外,在编写和发布影响公司的政策时,请记住咨询您的法律部门。你的法律部门甚至可能有一个标准的AUP,你可以使用。以下是AUP中需要涵盖的重要领域。

目的: 始终告知所有用户其行为对安全和隐私的影响。

简介:计算机安全事件的数量以及由此造成的业务中断和服务恢复成本不断上升。实施相关安全政策,阻断不必要的网络和计算机访问,提高用户安全意识,及早发现和缓解安全事件,是降低安全事件风险和降低成本的一些措施。

然后我们将开始命名我们想要包含的特定要点。例如:

目的: 为企业数据风险管理程序奠定基础;人、过程和技术。

[更多策略:安全工具、模板、策略]

常规:信息安全策略可能如下所示。其目的是确定项目的管理、人员和技术结构。此策略最重要的部分是“谁是负责信息安全的单一联系人”是it经理还是安全分析师,还是您需要指定人员?

答。信息和信息系统的作用

B。定义

C。环境和范围

D。组织和员工角色和职责

政策

继续相关要点。添加社会工程、网络钓鱼、鱼叉式网络钓鱼、高级持久性威胁、垃圾邮件等。

目的:  确保业务部门有准确且经过测试的DR/BCP计划。

灾难恢复/业务连续性计划有助于管理实时风险。它包括从对拒绝服务攻击、洪水、火灾、飓风或任何其他潜在的服务中断的响应。业务连续性旨在保持业务的正常运行,因此包括冗余的系统和人员计划,以确保业务保持正常运行。

灾难恢复顾名思义是一种计划,用于从洪水、火灾或飓风等导致服务中断的事件中恢复,即:您失去了业务连续性。在创建、规划或测试时,DR/BCP计划必须始终涉及业务部门。每个关键部门或业务职能部门必须了解自己在恢复战略中的角色。包括在家工作吗?在大飓风的情况下,您是否考虑过员工在为企业尽自己的一份力之前,员工的家庭可能需要在家里得到帮助?IE:在飓风这样危及生命的情况下,家人必须先照顾好家人,然后才能照顾好自己的公司。

BCP Sungard博士

恢复策略摘要:在本节中,计划通常会概述在计划简介部分中确定的每个场景中要遵循的广泛策略。以下列表来自Sungard。

目的: 确保变更得到管理、批准和跟踪。

最后,让我们看看变更管理,在任何一个公司的IT部门,事情往往进展得很快。由于一些原因,系统和软件正在更新、修改或更换。如果没有变更管理,防火墙可能会被更新,并突然停止业务流量流动,或者可能由于限制不够而导致意外的数据丢失或数据泄漏。当我们进行更改或更新时,意外的事情经常发生。

变更管理迫使我们放慢速度并制定计划,确保我们完全了解变更及其对其他公司系统和数据的潜在影响。变更管理还制定了一个退出计划,以防变更失败或产生意外后果。变更管理有助于确保在做出任何变更之前,业务影响得到领导层的完全理解和批准。

范围:本政策的范围包括所有人员,包括外部供应商,他们可以访问或负责定义、规划或设计公司XYZ设施内任何和所有系统的生产系统的软件。

政策:必须按照变更管理程序中包含的步骤,为每个计划或非计划变更完成通知。

系统架构和控制策略

在下一篇博客中,我们将回顾每个组织应该制定的其余五项政策。大多数没有全职安全和法规遵从性角色的公司。好的政策需要花费大量的时间和经验来制定,知道什么时候应该打电话给顾问或具有合适专业知识的人寻求帮助。政策是你的安全和合规计划的基础,所以确保他们第一次做对了,你可能不会有第二次机会。

请参阅本系列的第2部分。