Komponen Kebijakan Keamanan
Kebijakan membentuk kerangka dasar program keamanan. Pada tingkat program, kebijakan merupakan tujuan keamanan manajemen senior. Pada tingkat sistem, mereka memberikan peraturan untuk pembangunan dan pengoperasian sistem tertentu. Apakah program khusus atau sistem, kebijakan membantu mencegah inkonsistensi dengan membentuk dasar untuk standar rinci, pedoman, dan prosedur. Mereka juga berfungsi sebagai alat untuk memberitahu karyawan tentang kegiatan yang tepat dan pembatasan yang diperlukan untuk mematuhi peraturan. Akhirnya, kebijakan membuat harapan manajemen yang jelas tentang keterlibatan karyawan dalam melindungi aset informasi.
Ketika membangun kebijakan, pastikan itu jelas dan fleksibel. Ini seharusnya tidak memberikan detail begitu banyak sehingga pasukan kendala tidak masuk akal pada wilayah operasional bisnis Anda. Meninggalkan ruangan untuk membuat keputusan manajemen yang sesuai dengan tantangan tertentu yang muncul.
Program kebijakan menetapkan program keamanan. Mereka menyediakan bentuk dan karakter. Bagian-bagian yang membentuk kebijakan program termasuk tujuan, lingkup, tanggung jawab, dan kepatuhan. Berikut ini adalah komponen dasar dari sebuah kebijakan keamanan:
* Tujuan mencakup tujuan program, seperti:
o waktu pemulihan Peningkatan
o Mengurangi biaya atau downtime karena hilangnya data
o Pengurangan kesalahan untuk kedua perubahan sistem dan kegiatan operasional
o Peraturan kepatuhan
o Manajemen kerahasiaan keseluruhan, integritas, dan ketersediaan
* Lingkup memberikan petunjuk pada siapa dan apa yang dilindungi oleh kebijakan. Cakupan meliputi:
o Fasilitas
o Jenis usaha
o Karyawan atau departemen
o Teknologi
o Proses
* Tanggung jawab untuk implementasi dan pengelolaan kebijakan yang ditetapkan dalam bagian ini. unit organisasi atau individu adalah kandidat tugas potensial.
* Kepatuhan menyediakan untuk penegakan kebijakan itu. Jelaskan kegiatan pengawasan dan pertimbangan disiplin jelas. Namun isi dari bagian ini berarti kecuali sebuah program penyadaran yang efektif adalah di tempat.
Sistem kebijakan khusus menyediakan kerangka kerja bagi program keamanan sistem dan isu tertentu. Seperti kebijakan program, kebijakan sistem harus cukup fleksibel untuk memungkinkan para manajer untuk membuat keputusan operasional efektif sambil menjaga kerahasiaan, integritas, dan ketersediaan aset informasi. Sistem kebijakan biasanya alamat dua bidang: tujuan keamanan dan standar keamanan operasional.
Kebijakan yang menggambarkan tujuan keamanan jelas mendefinisikan terukur, tujuan tercapai. Tujuan ini fokus pada petunjuk pemilik data dimaksudkan untuk melindungi sistem tertentu. Kebijakan ditulis untuk memperhitungkan kebutuhan fungsional sistem seperti yang terlihat oleh pengguna bisnis. Karena kebijakan menerapkan batasan tentang bagaimana sistem atau teknologi yang mungkin dikerahkan dan digunakan, selalu ada bahaya bahwa pertemuan tujuan keamanan buruk dapat mempengaruhi efisiensi operasional. Sangat penting untuk menyeimbangkan pengurangan risiko dengan biaya terkait dengan potensi kerugian produktivitas.
standar keamanan operasional menyediakan sebuah set aturan untuk operasi dan mengelola sistem atau teknologi. Seperti dengan tujuan sistem kebijakan, aturan ini tidak boleh begitu ketat bahwa mereka melumpuhkan organisasi Anda. Selain itu, beban administrasi yang terkait dengan mengelola dan menegakkan kebijakan terlalu ketat organisasi Anda mungkin dikenakan biaya lebih dari dampak bisnis Anda mencoba untuk melindungi. Elemen-elemen dari sistem / isu kebijakan tertentu termasuk tujuan, sasaran, ruang lingkup, peran dan tanggung jawab, kepatuhan, dan pemilik kebijakan dan informasi kontak.
* Tujuan mendefinisikan manajemen tantangan yang menangani. Tantangan mungkin termasuk kendala peraturan, perlindungan data yang sangat sensitif, atau penggunaan teknologi yang aman tertentu. Dalam beberapa kasus, mungkin perlu untuk mendefinisikan istilah. Sangat penting bahwa setiap orang dipengaruhi oleh kebijakan tersebut jelas memahami isinya. Akhirnya, jelas menyatakan kondisi di mana kebijakan tersebut berlaku.
* Tujuan dapat mencakup tindakan dan konfigurasi dilarang atau dikendalikan. Meskipun mereka umumnya ditetapkan di luar kebijakan, keadaan dan praktek-praktek organisasi mungkin memerlukan menempatkan standar tertentu dan pedoman dalam bagian ini. Dalam kasus apapun, itu di bagian ini bahwa Anda mendefinisikan hasil yang Anda harapkan dari penegakan kebijakan.
* Lingkup menentukan mana, kapan, bagaimana, dan kepada siapa kebijakan tersebut berlaku.
* Tugas dan Tanggung Jawab mengidentifikasi unit usaha atau individu yang bertanggung jawab atas berbagai bidang implementasi dan penegakan kebijakan tersebut.
* Kepatuhan sama pentingnya dalam sebuah sistem atau kebijakan tingkat masalah seperti dalam kebijakan program. Anda harus menyatakan dengan jelas konsekuensi yang mungkin tidak sesuai dengan standar dan pedoman yang tercantum dalam Tujuan.
* Kebijakan Pemilik dan Kontak Informasi daftar orang yang bertanggung jawab untuk mengelola kebijakan. Karena pemilik data bertanggung jawab untuk mendefinisikan perlindungan yang diperlukan untuk sistem tertentu, dia mungkin menjadi pilihan yang baik bagi pemilik kebijakan. Pastikan bahwa informasi kontak untuk pemilik kebijakan tetap up to date. Hal ini memungkinkan individu yang bertanggung jawab untuk menerapkan sistem di bawah kebijakan untuk menghubungi pemilik kebijakan untuk klarifikasi pada standar dan pedoman.
Langkah terakhir dalam pembangunan kebijakan adalah persetujuan oleh manajemen senior. Tanpa persetujuan dan dukungan mereka, kebijakan tidak layak sangat banyak. Salah satu cara untuk memastikan dukungan manajemen adalah melibatkan area yang berhubungan dengan bisnis di setiap kebijakan pembangunan. Ini membantu mencegah persepsi bahwa kebijakan keamanan informasi, dan keamanan informasi secara umum, adalah masalah IS. Hal ini juga memelihara rasa memiliki di seluruh organisasi. Manajer lebih bersedia mendukung pembatasan operasional yang menghasilkan nilai bisnis yang jelas mereka membantu menentukan.
Meskipun Anda dapat mulai dengan lembaran kosong, saya sarankan Anda melihat beberapa kebijakan misalnya. Tempat yang baik untuk memulai adalah SANS Security Policy Project halaman.
Tidak ada komentar:
Posting Komentar