Komponen Kebijakan Keamanan
Kebijakan membentuk kerangka dasar program keamanan. Pada tingkat program, kebijakan merupakan tujuan keamanan manajemen senior. Pada tingkat sistem, mereka memberikan peraturan untuk pembangunan dan pengoperasian sistem tertentu. Apakah program khusus atau sistem, kebijakan membantu mencegah inkonsistensi dengan membentuk dasar untuk standar rinci, pedoman, dan prosedur. Mereka juga berfungsi sebagai alat untuk memberitahu karyawan tentang kegiatan yang tepat dan pembatasan yang diperlukan untuk mematuhi peraturan. Akhirnya, kebijakan membuat harapan manajemen yang jelas tentang keterlibatan karyawan dalam melindungi aset informasi.
Ketika membangun kebijakan, pastikan itu jelas dan fleksibel. Ini seharusnya tidak memberikan detail begitu banyak sehingga pasukan kendala tidak masuk akal pada wilayah operasional bisnis Anda. Meninggalkan ruangan untuk membuat keputusan manajemen yang sesuai dengan tantangan tertentu yang muncul.
Program kebijakan menetapkan program keamanan. Mereka menyediakan bentuk dan karakter. Bagian-bagian yang membentuk kebijakan program termasuk tujuan, lingkup, tanggung jawab, dan kepatuhan. Berikut ini adalah komponen dasar dari sebuah kebijakan keamanan:
* Tujuan mencakup tujuan program, seperti:
o waktu pemulihan Peningkatan
o Mengurangi biaya atau downtime karena hilangnya data
o Pengurangan kesalahan untuk kedua perubahan sistem dan kegiatan operasional
o Peraturan kepatuhan
o Manajemen kerahasiaan keseluruhan, integritas, dan ketersediaan
* Lingkup memberikan petunjuk pada siapa dan apa yang dilindungi oleh kebijakan. Cakupan meliputi:
o Fasilitas
o Jenis usaha
o Karyawan atau departemen
o Teknologi
o Proses
* Tanggung jawab untuk implementasi dan pengelolaan kebijakan yang ditetapkan dalam bagian ini. unit organisasi atau individu adalah kandidat tugas potensial.
* Kepatuhan menyediakan untuk penegakan kebijakan itu. Jelaskan kegiatan pengawasan dan pertimbangan disiplin jelas. Namun isi dari bagian ini berarti kecuali sebuah program penyadaran yang efektif adalah di tempat.
Sistem kebijakan khusus menyediakan kerangka kerja bagi program keamanan sistem dan isu tertentu. Seperti kebijakan program, kebijakan sistem harus cukup fleksibel untuk memungkinkan para manajer untuk membuat keputusan operasional efektif sambil menjaga kerahasiaan, integritas, dan ketersediaan aset informasi. Sistem kebijakan biasanya alamat dua bidang: tujuan keamanan dan standar keamanan operasional.
Kebijakan yang menggambarkan tujuan keamanan jelas mendefinisikan terukur, tujuan tercapai. Tujuan ini fokus pada petunjuk pemilik data dimaksudkan untuk melindungi sistem tertentu. Kebijakan ditulis untuk memperhitungkan kebutuhan fungsional sistem seperti yang terlihat oleh pengguna bisnis. Karena kebijakan menerapkan batasan tentang bagaimana sistem atau teknologi yang mungkin dikerahkan dan digunakan, selalu ada bahaya bahwa pertemuan tujuan keamanan buruk dapat mempengaruhi efisiensi operasional. Sangat penting untuk menyeimbangkan pengurangan risiko dengan biaya terkait dengan potensi kerugian produktivitas.
standar keamanan operasional menyediakan sebuah set aturan untuk operasi dan mengelola sistem atau teknologi. Seperti dengan tujuan sistem kebijakan, aturan ini tidak boleh begitu ketat bahwa mereka melumpuhkan organisasi Anda. Selain itu, beban administrasi yang terkait dengan mengelola dan menegakkan kebijakan terlalu ketat organisasi Anda mungkin dikenakan biaya lebih dari dampak bisnis Anda mencoba untuk melindungi. Elemen-elemen dari sistem / isu kebijakan tertentu termasuk tujuan, sasaran, ruang lingkup, peran dan tanggung jawab, kepatuhan, dan pemilik kebijakan dan informasi kontak.
* Tujuan mendefinisikan manajemen tantangan yang menangani. Tantangan mungkin termasuk kendala peraturan, perlindungan data yang sangat sensitif, atau penggunaan teknologi yang aman tertentu. Dalam beberapa kasus, mungkin perlu untuk mendefinisikan istilah. Sangat penting bahwa setiap orang dipengaruhi oleh kebijakan tersebut jelas memahami isinya. Akhirnya, jelas menyatakan kondisi di mana kebijakan tersebut berlaku.
* Tujuan dapat mencakup tindakan dan konfigurasi dilarang atau dikendalikan. Meskipun mereka umumnya ditetapkan di luar kebijakan, keadaan dan praktek-praktek organisasi mungkin memerlukan menempatkan standar tertentu dan pedoman dalam bagian ini. Dalam kasus apapun, itu di bagian ini bahwa Anda mendefinisikan hasil yang Anda harapkan dari penegakan kebijakan.
* Lingkup menentukan mana, kapan, bagaimana, dan kepada siapa kebijakan tersebut berlaku.
* Tugas dan Tanggung Jawab mengidentifikasi unit usaha atau individu yang bertanggung jawab atas berbagai bidang implementasi dan penegakan kebijakan tersebut.
* Kepatuhan sama pentingnya dalam sebuah sistem atau kebijakan tingkat masalah seperti dalam kebijakan program. Anda harus menyatakan dengan jelas konsekuensi yang mungkin tidak sesuai dengan standar dan pedoman yang tercantum dalam Tujuan.
* Kebijakan Pemilik dan Kontak Informasi daftar orang yang bertanggung jawab untuk mengelola kebijakan. Karena pemilik data bertanggung jawab untuk mendefinisikan perlindungan yang diperlukan untuk sistem tertentu, dia mungkin menjadi pilihan yang baik bagi pemilik kebijakan. Pastikan bahwa informasi kontak untuk pemilik kebijakan tetap up to date. Hal ini memungkinkan individu yang bertanggung jawab untuk menerapkan sistem di bawah kebijakan untuk menghubungi pemilik kebijakan untuk klarifikasi pada standar dan pedoman.
Langkah terakhir dalam pembangunan kebijakan adalah persetujuan oleh manajemen senior. Tanpa persetujuan dan dukungan mereka, kebijakan tidak layak sangat banyak. Salah satu cara untuk memastikan dukungan manajemen adalah melibatkan area yang berhubungan dengan bisnis di setiap kebijakan pembangunan. Ini membantu mencegah persepsi bahwa kebijakan keamanan informasi, dan keamanan informasi secara umum, adalah masalah IS. Hal ini juga memelihara rasa memiliki di seluruh organisasi. Manajer lebih bersedia mendukung pembatasan operasional yang menghasilkan nilai bisnis yang jelas mereka membantu menentukan.
Meskipun Anda dapat mulai dengan lembaran kosong, saya sarankan Anda melihat beberapa kebijakan misalnya. Tempat yang baik untuk memulai adalah SANS Security Policy Project halaman.
Senin, 22 November 2010
Element Of Issue-specific security policies
Revisi: 2008/08/19NIST Kerangka: KebijakanEnterprise Kebijakan Keamanan Informasi - EISPKantor Wakil Presiden Operasi / CIOTujuan:Kebijakan ini berfungsi untuk menetapkan praktek keamanan informasi minimum untukKennesaw State University sumber daya teknologi, perangkat, dan terkaitkomunikasi. Kebijakan ini dimaksudkan untuk memberikan arahan pada Universitas keamananpraktek yang dirancang untuk menjamin kerahasiaan, integritas, dan ketersediaaninformasi kampus.Issue Date:Kebijakan ini dibuat pada tanggal 1 September 2006.Tanggal Efektif:Kebijakan ini berlaku sejak 15 Januari 2009Elemen Keamanan Informasi:Keamanan informasi didefinisikan sebagai perlindungan informasi dan kritisnyaelemen, termasuk sistem dan perangkat keras yang menyimpan, menggunakan atau proses, danRevisi: 2008/08/19NIST Kerangka: Kebijakanmengirimkan informasi tersebut. Kennesaw State University keamanan informasi modeldidasarkan pada pedoman federal diterima dan terdiri dari kontrol teknis,pendidikan & kesadaran, kebijakan dan prosedur, dan manajemen identitas.Kontrol ini, bersama dengan banyak orang lain, bertindak secara kolektif untuk memastikan datakerahasiaan, integritas, dan ketersediaan di Kennesaw Negara Univerity.Pernyataan Kebijakan:Perlindungan aset informasi Universitas dan sumber daya teknologi yangdukungan perusahaan sangat penting untuk fungsi Universitas. Universitasaset informasi beresiko dari ancaman potensial seperti kesalahan karyawan,berbahaya atau tindakan kriminal, kegagalan sistem, dan bencana alam. Seperti kejadiandapat mengakibatkan kerusakan sumber informasi, korupsi atau hilangnya dataintegritas, atau kompromi kerahasiaan data. Informasi UniversitasKantor keamanan berusaha proaktif mengurangi risiko terhadap informasi elektroniksumber daya melalui penerapan pengendalian yang dirancang untuk mendeteksi dan mencegahkesalahan sebelum terjadi. Merugikan akses ke Kennesaw State Universityjaringan perusahaan didefinisikan sebagai intervensi apapun, baik dari internal ataueksternal entitas, yang menciptakan situasi dimana otentikasi dan aksesmekanisme kontrol yang dilewati yang mungkin kompromi kerahasiaan atauintegritas sumber daya informasi atau membuat mereka tidak tersedia.Kennesaw State University sumber daya teknologi proaktif akan melacakakses aktivitas merugikan dan bekerja untuk melarang atau memperbaiki aktivitas tersebut. Manaaktivitas akses yang tidak disengaja merugikan terdeteksi, organisasi akan terpengaruhdisarankan untuk memperbaiki kerentanan dieksploitasi untuk mencegah terjadi di masa depan.Revisi: 2008/08/19NIST Kerangka: KebijakanDimana kegiatan akses merugikan bertekad untuk menjadi disengaja akandianggap kegiatan berbahaya dan respons yang tepat akan dimulai.Semua data dan informasi yang dikirim melalui Badan Usaha Milik Negara Universitas Kennesawjaringan, dan domain komunikasi terkait sistem, adalah milikKennesaw State University. Dalam rangka memelihara dan mengelola properti ini,Kennesaw Universitas Negeri berhak untuk memeriksa semua informasiditularkan melalui sistem ini. Kennesaw State University komputer dansistem komunikasi harus digunakan untuk sesuai akademis dan bisnistujuan saja. Pemeriksaan informasi tersebut dapat dilakukan tanpa terlebih dahuluperingatan kepada pihak yang mengirim atau menerima informasi tersebut.Selain itu, file yang terbanyak dan dokumen dipelihara oleh Kennesaw State Universityini akan ditinjau kembali publik di bawah Georgia Terbuka Records Act. Ini mencakupfile dan data komputer lain tanpa tergantung pada media penyimpanan. Untukalasan fakultas, staf, mahasiswa, kontraktor, agen atau individu harustidak memiliki harapan privasi yang terkait dengan informasi yang mereka menyimpan ataukirim melalui sistem ini. Sistem ini ada untuk mendukung misi kritisUniversitas kegiatan dan tujuan.Keamanan Informasi Standar & Pedoman:Georgia Undang-Undang Perlindungan Sistem Komputer (OCGA 16-9-90) menentukantindakan melanggar hukum yang melibatkan sumber informasi dan hukuman selanjutnya ataskeyakinan. Semua data diproses, disimpan, dan dikirimkan melalui Kennesaw NegaraRevisi: 2008/08/19NIST Kerangka: KebijakanUniversitas jaringan dan mesin yang diadakan di kepercayaan besar dan itu harus diberikanterbesar perlindungan. Untuk tujuan ini, kebijakan keamanan informasi, pendidikan,proses, dan standar dibuat sebagai kelanjutan dari melindungi Kennesaw Negaraaset informasi Universitas mengandalkan Georgia Sistem komputerUndang-Undang Perlindungan (OCGA 16-9-90) untuk memastikan kepatuhan. Pelanggar akandituntut sesuai.Penerapan:Semua Kennesaw State University fakultas, staf, mahasiswa, kontraktor, agen atauindividu lain memanfaatkan sumber daya komputer, jaringan komunikasi data, atausumber daya teknologi informasi infrastruktur lain yang dimiliki atau disewa olehKennesaw State University; termasuk instansi negara lain yang listrikkonektivitas ke jaringan tunduk pada kebijakan ini. Selain itu, setiap remoteakses (seperti koneksi dial up, akses ISP, atau koneksi VPN) keKennesaw State University jaringan perusahaan atau domain terkait akan memilikiefek yang sama seperti akses langsung melalui KSU menyediakan peralatan atau fasilitas.Review Jadwal:Keamanan Informasi Enterprise kebijakan akan ditinjau setiap tahun oleh KantorWakil Presiden Operasi / CIO & Officer Keamanan Informasi.Authority:Revisi: 2008/08/19NIST Kerangka: KebijakanWewenang untuk menetapkan dan menegakkan kebijakan ini dan kebijakan keamanan yang terkaitdokumen yang dibuat oleh Kantor Wakil Presiden Operasi / CIO
Definisi Issue-specific security policies
KEBIJAKAN KEAMANAN KOMPUTER
Dalam diskusi keamanan komputer, kebijakan jangka memiliki lebih dari satu meaning.Kebijakan arahan manajemen senior untuk membuat program keamanan komputer, menetapkan tujuan, dan menetapkan tanggung jawab. Kebijakan Istilah ini juga digunakan untuk merujuk kepada aturan keamanan khusus untuk systems. tertentu Selain itu, kebijakan dapat merujuk kepada hal-hal yang sama sekali berbeda, seperti keputusan manajerial spesifik setting e-mail privasi organisasi kebijakan atau kebijakan faks keamanan.Kebijakan arti yang berbeda untuk orang yang berbeda. The "Kebijakan" digunakan dalam bab ini secara luas untuk merujuk kepada keputusan-keputusan penting komputer yang berhubungan dengan keamanan.
Dalam bab ini kebijakan jangka keamanan komputer didefinisikan sebagai "dokumentasi keputusan keamanan komputer"-yang mencakup semua jenis kebijakan dijelaskan above. Dalam mengambil keputusan ini, manajer menghadapi pilihan sulit menyangkut alokasi sumber daya, tujuan bersaing, dan strategi organisasi terkait untuk melindungi kedua sumber daya teknis dan informasi serta pedoman perilaku karyawan. Manajer di semua tingkatan membuat pilihan yang dapat menghasilkan kebijakan, dengan lingkup penerapan kebijakan itu bervariasi sesuai dengan lingkup kewenangan manajer. Dalam bab ini kita menggunakan istilah kebijakan secara luas untuk mencakup semua jenis kebijakan dijelaskan di atas-terlepas dari tingkat manajer yang menentukan kebijakan tertentu.
keputusan manajerial tentang isu-isu keamanan komputer sangat bervariasi. Untuk membedakan antara berbagai macam kebijakan, bab ini mengkategorikan mereka ke dalam tiga tipe dasar:
* Kebijakan Program digunakan untuk membuat program komputer keamanan organisasi.
Isu-kebijakan khusus * isu-isu khusus yang menjadi perhatian organisasi.
* Sistem-spesifik kebijakan fokus pada keputusan yang diambil oleh manajemen untuk melindungi system. tertentu
Prosedur, standar, dan pedoman yang digunakan untuk menggambarkan bagaimana kebijakan ini akan diimplementasikan dalam sebuah organisasi. (Lihat kotak berikut ini.)Alat untuk Menerapkan Kebijakan:Standar, Pedoman, dan Prosedur
Karena kebijakan tertulis pada tingkat luas, organisasi juga mengembangkan standar, pedoman, dan prosedur yang menawarkan pengguna, manajer, dan lain-lain pendekatan yang lebih jelas untuk menerapkan kebijakan dan mencapai tujuan organisasi. Standar dan pedoman menentukan teknologi dan metodologi yang digunakan untuk mengamankan sistem. Prosedur belum langkah-langkah yang lebih rinci yang harus diikuti untuk menyelesaikan tugas-tugas tertentu yang berhubungan dengan keamanan. Standar, pedoman, dan prosedur dapat diundangkan seluruh organisasi melalui buku panduan, peraturan, atau manual.
Organisasi standar (jangan bingung dengan American Standar Nasional, FIPS, Federal Standar, atau standar nasional atau internasional lainnya) menetapkan penggunaan seragam teknologi spesifik, parameter, atau prosedur ketika menggunakan seragam tersebut akan menguntungkan organisasi. Standarisasi lencana identifikasi organisasi yang luas adalah contoh yang khas, memberikan kemudahan mobilitas karyawan dan otomatisasi masuk / keluar sistem. Standar biasanya wajib dalam sebuah organisasi.
Pedoman membantu pengguna, personil sistem, dan lain-lain secara efektif mengamankan sistem mereka. Sifat pedoman, bagaimanapun, segera mengakui bahwa sistem sangat bervariasi, dan pemaksaan standar tidak selalu dapat dicapai, sesuai, atau biaya-efektif. Sebagai contoh, sebuah pedoman organisasi dapat digunakan untuk membantu mengembangkan prosedur standar sistem-spesifik. Pedoman sering digunakan untuk membantu memastikan bahwa langkah-langkah keamanan khusus tidak diabaikan, meskipun mereka dapat dilaksanakan, dan benar begitu, di lebih dari satu cara.
Prosedur biasanya membantu dalam mematuhi kebijakan keamanan yang berlaku, standar, dan pedoman. Mereka langkah rinci yang harus diikuti oleh pengguna, sistem operasi personalia, atau orang lain untuk menyelesaikan tugas tertentu (misalnya, menyiapkan account pengguna baru dan menempatkan hak sesuai).
Beberapa organisasi masalah manual keamanan komputer secara keseluruhan, peraturan, buku panduan, atau dokumen sejenis. Ini mungkin campuran kebijakan, pedoman, standar, dan prosedur, karena mereka adalah berhubungan erat. Sementara manual dan peraturan dapat berfungsi sebagai alat penting, seringkali berguna jika mereka secara jelas membedakan antara kebijakan dan pelaksanaannya. Hal ini dapat membantu dalam mempromosikan fleksibilitas dan efektivitas biaya dengan menawarkan alternatif pendekatan implementasi untuk mencapai tujuan kebijakan.
Keakraban dengan berbagai jenis dan komponen kebijakan akan membantu manajer dalam menangani masalah keamanan komputer penting bagi organisasi. akhirnya menghasilkan kebijakan yang efektif dalam pengembangan dan pelaksanaan program keamanan komputer yang lebih baik dan perlindungan yang lebih baik sistem dan informasi.
Jenis kebijakan dijelaskan untuk membantu pembaca understanding. Tidaklah penting bahwa satu mengkategorikan kebijakan organisasi tertentu ke dalam tiga kategori, adalah lebih penting untuk berfokus pada fungsi masing-masing.
Langganan:
Postingan (Atom)