คู่ค้าต้องการสำเนานโยบายความปลอดภัยด้านไอทีที่เป็นลายลักษณ์อักษรของเราและฉันไม่แน่ใจว่าจะต้องทำอย่างไร [ปิด]

23

บริษัท ของฉันทำงานกับ บริษัท อื่นและเป็นส่วนหนึ่งของสัญญาพวกเขากำลังขอสำเนานโยบายความปลอดภัยด้านไอทีที่เป็นลายลักษณ์อักษรของ บริษัท ของฉัน ฉันไม่มีนโยบายความปลอดภัยด้านไอทีที่เป็นลายลักษณ์อักษรและฉันไม่แน่ใจว่าสิ่งที่ฉันต้องการมอบให้พวกเขาคืออะไร เราเป็นร้านค้าของ Microsoft เรามีตารางการอัพเดท จำกัด การเข้าถึงบัญชีเพื่อจัดการเซิร์ฟเวอร์ไฟร์วอลล์ใบรับรอง SSL และเราเรียกใช้ Microsoft Baseline Security Analyzer เป็นครั้งคราว

เรากำหนดค่าบริการและบัญชีผู้ใช้ตามที่เรารู้สึกว่าปลอดภัยที่สุด (มันยากเมื่อคุณไม่สามารถควบคุมซอฟต์แวร์ที่คุณใช้งานได้) แต่ฉันไม่สามารถเข้าไปดูรายละเอียดได้ทุกบริการและเซิร์ฟเวอร์แตกต่างกัน ฉันได้รับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่พวกเขาต้องการ แต่ฉันรู้สึกว่าพวกเขากำลังออกไปตกปลา

คำถามของฉันคือนี่เป็นวิธีปฏิบัติมาตรฐานในการขอข้อมูลนี้หรือไม่? (ฉันไม่ได้ต่อต้านมันอย่างซื่อสัตย์ แต่มันไม่เคยเกิดขึ้นมาก่อน) และถ้านี่เป็นมาตรฐานมีรูปแบบมาตรฐานและรายละเอียดระดับที่คาดหวังว่าฉันควรจะนำเสนอหรือไม่?

best-practices 
reconbot
แหล่งที่มา
1
ปรากฎว่าเรากำลังสมัครขอการรับรอง c-tpat เราจำเป็นต้องปฏิบัติตามสองสิ่งเท่านั้น 1) การป้องกันรหัสผ่าน 2) ความรับผิดชอบ ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/ ...... ) คำตอบที่ดีจำนวนมากที่นี่ทำให้ฉันคิดว่าฉันได้เริ่มโครงการเพื่อวางแผนอย่างเป็นทางการ ใช้คำแนะนำของคุณมากมายไม่ใช่เพื่อการรับรอง แต่เพื่อตัวเราเอง
reconbot
คำถามนี้ไม่ได้อยู่ในหัวข้อภายใต้กฎความทันสมัยในปัจจุบัน
HopelessN00b

คำตอบ:

44

พวกเขาไม่ต้องการสำเนานโยบายไอทีภายในทั้งหมดของคุณ แต่ฉันคิดว่าพวกเขาอาจจะทำอะไรทำนองนี้ - มีคนต้องการได้รับข้อมูลที่เพียงพอเกี่ยวกับสัญญาเพื่อกำหนดว่าคุณต้องให้รายละเอียดมากน้อยเพียงใด ฉันเห็นด้วยกับโจเซฟ - หากพวกเขาต้องการข้อมูลเพื่อเหตุผลด้านกฎหมาย / การปฏิบัติตามกฎหมายจำเป็นต้องมีข้อมูลที่ถูกต้องตามกฎหมาย

ข้อมูลพื้นฐาน

1) พนักงานของคุณอยู่นอกสหรัฐอเมริกาหรือไม่

2) บริษัท ของคุณมีนโยบายความปลอดภัยของข้อมูลอย่างเป็นทางการและเป็นเอกสารหรือไม่?

3) การจัดการและการจำแนกข้อมูลและข้อมูลครอบคลุมโดยนโยบายความปลอดภัยข้อมูลของคุณหรือไม่?

4) มีปัญหาด้านกฎระเบียบที่โดดเด่นใด ๆ ที่คุณกำลังพูดถึงอยู่ในสถานะที่คุณดำเนินงานอยู่หรือไม่? ถ้าใช่โปรดอธิบาย

ความปลอดภัยทั่วไป

1) คุณมีโปรแกรมการฝึกอบรมด้านความปลอดภัยข้อมูลสำหรับพนักงานและผู้รับเหมาหรือไม่?

2) คุณใช้วิธีใดต่อไปนี้ในการตรวจสอบและให้สิทธิ์การเข้าถึงระบบและแอปพลิเคชันของคุณ:

  • ดำเนินการโดยระบบปฏิบัติการ
  • ดำเนินการโดยผลิตภัณฑ์เชิงพาณิชย์
  • เข้าสู่ระบบเดียวใน
  • ใบรับรองดิจิทัลฝั่งไคลเอ็นต์
  • การรับรองความถูกต้องด้วยสองปัจจัยอื่น ๆ
  • บ้านปลูก
  • ไม่มีกลไกการพิสูจน์ตัวตน

3) ใครอนุญาตให้เข้าถึงสำหรับพนักงานผู้รับเหมา temps ผู้ขายและพันธมิตรทางธุรกิจ

4) คุณอนุญาตให้พนักงานของคุณ (รวมถึงผู้รับเหมา temps ผู้ขาย ฯลฯ ) สามารถเข้าถึงเครือข่ายของคุณจากระยะไกลได้หรือไม่?

5) คุณมีแผนรับมือเหตุการณ์ความปลอดภัยของข้อมูลหรือไม่? ถ้าไม่เหตุการณ์ความปลอดภัยของข้อมูลได้รับการจัดการอย่างไร

6) คุณมีนโยบายที่จัดการกับการจัดการข้อมูลภายในหรือเป็นความลับในข้อความอีเมลไปยัง บริษัท ของคุณหรือไม่?

7) คุณทบทวนนโยบายและมาตรฐานความปลอดภัยของข้อมูลอย่างน้อยปีละครั้งหรือไม่?

8) มีวิธีการและการควบคุมทางกายภาพใดบ้างที่ช่วยป้องกันการเข้าถึงพื้นที่ปลอดภัยของ บริษัท ของคุณโดยไม่ได้รับอนุญาต

  • เซิร์ฟเวอร์เครือข่ายในห้องที่ถูกล็อค
  • การเข้าถึงเซิร์ฟเวอร์ที่ถูก จำกัด ด้วยการระบุความปลอดภัย (การ์ดการเข้าถึงข้อมูลชีวภาพ ฯลฯ )
  • การตรวจสอบวิดีโอ
  • บันทึกและขั้นตอนการลงชื่อเข้าใช้
  • ป้ายความปลอดภัยหรือบัตรประชาชนมองเห็นได้ตลอดเวลาในพื้นที่ปลอดภัย
  • ผู้รักษาความปลอดภัย
  • ไม่มี
  • อื่น ๆ โปรดระบุรายละเอียดเพิ่มเติม

9) โปรดอธิบายนโยบายรหัสผ่านของคุณสำหรับทุกสภาพแวดล้อม? กล่าวคือ ความยาวความแข็งแรงและอายุ

10) คุณมีแผนกู้คืนความเสียหาย (DR) หรือไม่? ถ้าใช่คุณทดสอบมันบ่อยแค่ไหน?

11) คุณมีแผนความต่อเนื่องทางธุรกิจ (BC) หรือไม่? ถ้าใช่คุณทดสอบมันบ่อยแค่ไหน?

12) คุณจะให้สำเนาผลการทดสอบ (BC และ DR) ให้เราหรือไม่หากมีการร้องขอ

ตรวจสอบสถาปัตยกรรมและระบบ

1) ข้อมูลและ / หรือแอปพลิเคชันของ บริษัท จะถูกจัดเก็บและ / หรือประมวลผลบนเซิร์ฟเวอร์เฉพาะหรือเซิร์ฟเวอร์ที่แชร์หรือไม่

2) หากบนเซิร์ฟเวอร์ที่ใช้ร่วมกันข้อมูลของ [บริษัท ] จะถูกแบ่งส่วนอย่างไรจากข้อมูลของ บริษัท อื่น

3) ประเภทของการเชื่อมต่อระหว่าง บริษัท กับ บริษัท จะมีให้?

  • อินเทอร์เน็ต
  • สายส่วนตัว / เช่า (เช่น T1)
  • ต่อสาย
  • VPN (เครือข่ายส่วนตัวเสมือน)
  • บริการเทอร์มินัล
  • ไม่มี
  • อื่น ๆ โปรดระบุรายละเอียดเพิ่มเติม

4) การเชื่อมต่อเครือข่ายนี้จะถูกเข้ารหัสหรือไม่? ถ้าใช่จะใช้วิธีการเข้ารหัสแบบใด

5) จำเป็นต้องใช้รหัสฝั่งไคลเอ็นต์ (รวมถึงรหัส ActiveX หรือ Java) ในการใช้โซลูชันหรือไม่? ถ้าใช่โปรดอธิบาย

6) คุณมีไฟร์วอลล์เพื่อควบคุมการเข้าถึงเครือข่ายภายนอกไปยังเว็บเซิร์ฟเวอร์ของคุณหรือไม่ ถ้าไม่เซิร์ฟเวอร์นี้อยู่ที่ไหน

7) เครือข่ายของคุณมี DMZ สำหรับการเข้าถึงอินเทอร์เน็ตไปยังแอปพลิเคชันหรือไม่ หากไม่มีแอปพลิเคชันเหล่านี้อยู่ที่ไหน

8) องค์กรของคุณทำตามขั้นตอนเพื่อให้แน่ใจว่ามีการปฏิเสธการหยุดให้บริการหรือไม่? โปรดอธิบายขั้นตอนเหล่านี้

9) คุณทำการตรวจสอบ / ทดสอบความปลอดภัยของข้อมูลใด ๆ ดังต่อไปนี้

  • ระบบภายใน / สแกนเครือข่าย
  • การประเมินตนเองที่จัดการภายในและ / หรือการทบทวนความขยันเนื่องจาก
  • บทวิจารณ์โค้ดภายใน / บทวิจารณ์เพียร์
  • การทดสอบการเจาะภายนอกของบุคคลภายนอก / การศึกษา
  • อื่น ๆ โปรดระบุรายละเอียดการทดสอบเหล่านี้ดำเนินการบ่อยครั้งเพียงใด

10) ข้อปฏิบัติด้านความปลอดภัยของข้อมูลใดต่อไปนี้ที่ใช้งานภายในองค์กรของคุณ

  • รายการควบคุมการเข้าถึง
  • ใบรับรองดิจิทัล - ฝั่งเซิร์ฟเวอร์
  • ใบรับรองดิจิทัล - ฝั่งไคลเอ็นต์
  • ลายเซ็นดิจิทัล
  • การตรวจจับ / ป้องกันการบุกรุกบนเครือข่าย
  • การตรวจจับ / ป้องกันการบุกรุกตามโฮสต์
  • การอัพเดตตามกำหนดเวลาไปยังไฟล์ลายเซ็นตรวจจับ / ป้องกัน
  • การตรวจสอบการบุกรุก 24x7
  • การสแกนไวรัสอย่างต่อเนื่อง
  • การอัพเดตตามกำหนดเวลาไปยังไฟล์ไวรัส
  • การศึกษาการเจาะและ / หรือการทดสอบ
  • ไม่มี

11) คุณมีมาตรฐานในการชุบแข็งหรือรักษาความปลอดภัยระบบปฏิบัติการของคุณหรือไม่?

12) คุณมีกำหนดการสำหรับการใช้การอัปเดตและการแก้ไขด่วนไปยังระบบปฏิบัติการของคุณหรือไม่? ถ้าไม่โปรดบอกเราว่าคุณจะกำหนดว่าจะใช้แพทช์และการอัพเดทที่สำคัญอย่างไรและเมื่อใด

13) เพื่อให้การป้องกันจากไฟฟ้าหรือความล้มเหลวของเครือข่ายคุณรักษาระบบซ้ำซ้อนอย่างเต็มที่สำหรับระบบการทำธุรกรรมที่สำคัญของคุณ?

เว็บเซิร์ฟเวอร์ (ถ้ามี)

1) URL ที่จะใช้ในการเข้าถึงแอพพลิเคชั่น / ข้อมูลคืออะไร?

2) เว็บเซิร์ฟเวอร์ระบบปฏิบัติการใด? (โปรดระบุชื่อ OS เวอร์ชันและเซอร์วิสแพ็คหรือระดับแพตช์)

3) ซอฟต์แวร์เว็บเซิร์ฟเวอร์คืออะไร

แอพพลิเคชันเซิร์ฟเวอร์ (ถ้ามี)

1) แอปพลิเคชันเซิร์ฟเวอร์ใดที่เป็นระบบปฏิบัติการ (โปรดระบุชื่อ OS เวอร์ชันและเซอร์วิสแพ็คหรือระดับแพตช์)

2) ซอฟต์แวร์แอพพลิเคชันของเซิร์ฟเวอร์คืออะไร

3) คุณใช้การควบคุมการเข้าถึงตามบทบาทหรือไม่ ถ้าใช่ระดับการเข้าถึงถูกกำหนดให้กับบทบาทอย่างไร

4) คุณมั่นใจได้อย่างไรว่ามีการมอบอำนาจและการแบ่งแยกหน้าที่ที่เหมาะสม

5) แอปพลิเคชันของคุณใช้การเข้าถึง / การรักษาความปลอดภัยของผู้ใช้หลายระดับหรือไม่? ถ้าใช่โปรดระบุรายละเอียด

6) มีการตรวจสอบกิจกรรมในแอปพลิเคชันของคุณโดยระบบของบุคคลที่สามหรือบริการหรือไม่? ถ้าใช่โปรดแจ้งชื่อ บริษัท และชื่อบริการและข้อมูลที่ถูกตรวจสอบ

เซิร์ฟเวอร์ฐานข้อมูล (ถ้ามี)

1) เซิร์ฟเวอร์ฐานข้อมูลระบบปฏิบัติการใด (โปรดระบุชื่อ OS เวอร์ชันและเซอร์วิสแพ็คหรือระดับแพตช์)

2) ซอฟต์แวร์เซิร์ฟเวอร์ฐานข้อมูลใดที่ใช้อยู่

3) ฐานข้อมูลถูกจำลองแบบหรือไม่?

4) เซิร์ฟเวอร์ฐานข้อมูลเป็นส่วนหนึ่งของคลัสเตอร์หรือไม่?

5) จะทำอย่างไร (ถ้ามี) เพื่อแยกข้อมูลของ บริษัท จาก บริษัท อื่น?

6) ข้อมูลของ [บริษัท ] จะถูกเข้ารหัสเมื่อใดบนดิสก์? ถ้าใช่โปรดอธิบายวิธีการเข้ารหัส

7) ข้อมูลแหล่งที่มาถูกจับอย่างไร?

8) มีการจัดการข้อผิดพลาดของความสมบูรณ์ของข้อมูลอย่างไร

การตรวจสอบและการบันทึก

1) คุณบันทึกการเข้าถึงลูกค้าบน:

  • เว็บเซิร์ฟเวอร์?
  • แอปพลิเคชันเซิร์ฟเวอร์หรือไม่
  • เซิร์ฟเวอร์ฐานข้อมูล

2) บันทึกการตรวจสอบหรือไม่ ถ้าใช่โปรดอธิบายกระบวนการและพวกเขาได้รับการตรวจสอบบ่อยแค่ไหน?

3) คุณให้ระบบและทรัพยากรเพื่อรักษาและตรวจสอบบันทึกการตรวจสอบและบันทึกการทำธุรกรรมหรือไม่? ถ้าใช่คุณเก็บบันทึกอะไรไว้และเก็บไว้นานเท่าใด

4) คุณจะอนุญาตให้ [บริษัท ] ตรวจสอบบันทึกระบบของคุณเมื่อเกี่ยวข้องกับ บริษัท ของเราหรือไม่

ความเป็นส่วนตัว

1) กระบวนการและขั้นตอนใดบ้างที่ใช้ในการแยกประเภท / ลบ / ทิ้งข้อมูลของ บริษัท [เมื่อ บริษัท ไม่ต้องการอีกต่อไป?

2) คุณมีข้อมูลของลูกค้าที่เปิดเผยข้อมูลโดยไม่ถูกต้องหรือผิดพลาดตลอดเวลาหรือไม่?
ถ้าใช่คุณใช้มาตรการแก้ไขอะไรมาบ้าง

3) ผู้รับเหมา (ไม่ใช่พนักงาน) มีการเข้าถึงข้อมูลที่ละเอียดอ่อนหรือเป็นความลับหรือไม่? ถ้าใช่พวกเขาได้ลงนามในข้อตกลงการไม่เปิดเผยข้อมูลหรือไม่?

4) คุณมีผู้จำหน่ายที่ได้รับอนุญาตให้เข้าถึงและบำรุงรักษาเครือข่ายระบบหรือแอปพลิเคชันของคุณหรือไม่? ถ้าใช่ผู้ขายเหล่านี้อยู่ภายใต้สัญญาที่ทำเป็นลายลักษณ์อักษรเพื่อให้มีการรักษาความลับการตรวจสอบประวัติและการประกัน / ชดเชยความสูญเสียหรือไม่?

5) ข้อมูลของคุณจำแนกและรักษาความปลอดภัยอย่างไร?

การดำเนินงาน

1) ความถี่และระดับของการสำรองข้อมูลของคุณคืออะไร

2) ระยะเวลาเก็บรักษานอกสถานที่ของการสำรองคืออะไร?

3) การสำรองข้อมูลของคุณอยู่ในรูปแบบใด

4) คุณจัดเก็บข้อมูลสำรองไว้นอกสถานที่หรือไม่? ถ้าใช่ระยะเวลาเก็บรักษาคืออะไร?

5) คุณเข้ารหัสการสำรองข้อมูลของคุณหรือไม่

6) คุณจะมั่นใจได้อย่างไรว่ามีการดำเนินการโปรแกรมการผลิตที่ถูกต้องเท่านั้น?

Kara Marfia
แหล่งที่มา
คาร่านี่เป็นหนึ่งในคำตอบที่ดีที่สุดที่ฉันเคยได้รับ ฉันเดาว่าคุณทำสิ่งนี้ไม่กี่ครั้ง
reconbot
1
ฉันเคยเติมพวกเขาใช่ ;) ฉันสงสัยว่าพวกเขารวมตัวกันโดยคณะกรรมการชุดใหญ่ในห้องมืดที่เต็มไปด้วยควัน ... ฉันดีใจที่มันช่วยได้ ความลังเลใจที่คุณได้รับนั้นเป็นเหตุผลที่ทำให้ SF มีอยู่จริง
Kara Marfia
1
"พนักงานของคุณอยู่นอกสหรัฐอเมริกาหรือไม่" - ตลก จากมุมมองของฉันมันมากขึ้นความเสี่ยงที่จะมีพนักงานอยู่ในสหรัฐอเมริกา ประเด็นที่เราถูกผูกมัดตามกฎหมายที่จะไม่อนุญาตให้ทุกคนเข้าถึงข้อมูลหรือเซิร์ฟเวอร์ (โดยไม่ได้รับการอนุมัติจากผู้พิพากษา) และทนายความของเรากล่าวว่าข้อกำหนดนี้ไม่สามารถปฏิบัติตามได้หากพนักงานบางคนจากสหรัฐอเมริกาเข้าถึงข้อมูลนี้: )
serverhorror
4

ฉันเคยถูกถามถึงข้อมูลนี้เมื่อทำงานกับอุตสาหกรรมที่มีการควบคุม (การธนาคาร) หรือรัฐบาล

ฉันไม่ทราบว่า "รูปแบบมาตรฐาน" ตามลำดับ แต่ฉันได้รับแม่แบบบางอย่างที่ลูกค้าของฉันได้รับจากผู้ตรวจสอบบัญชีว่าเป็น "สถานที่เริ่มต้น" เมื่อฉันต้องทำสิ่งเหล่านี้

ฉันอาจเริ่มต้นด้วยการค้นหาของ Google และดูสิ่งที่ฉันสามารถหาได้ในทางของเอกสารนโยบายตัวอย่าง SANS ( http://www.sans.org ) เป็นอีกสถานที่ที่ดีในการเริ่มค้นหา

เท่าที่ระดับของรายละเอียดเป็นไปฉันจะบอกว่ามันอาจจำเป็นต้องปรับให้เหมาะกับผู้ชมและวัตถุประสงค์ ฉันจะเก็บรายละเอียดไว้ในระดับสูงเว้นแต่ฉันจะถูกขอให้ระบุรายละเอียดในระดับต่ำโดยเฉพาะ

Evan Anderson
แหล่งที่มา
ฉันเคยใช้เทมเพลต NIST เสมอเพื่อสร้างนโยบายความปลอดภัยอย่างรวดเร็ว แต่ฉันไม่มีสำเนาอีกต่อไปและ google ฉบับย่อไม่สามารถค้นหาต้นฉบับได้อีกต่อไป (ฉันคิดว่าตอนนี้ NIST คิดค่าบริการ) รัฐบาลแห่งแคลิฟอร์เนียมีทรัพยากรที่ดีรวมถึงแม่แบบที่oispp.ca.gov/government/Library/samples.aspข้อเสนอแนะข้างต้นของสถาบัน SANS ก็เป็นแหล่งข้อมูลที่ดีเช่นกัน
hromanko
4

มีสาเหตุหลายประการที่ บริษัท อาจต้องการดูนโยบายความปลอดภัยของคุณ ตัวอย่างหนึ่งคืออุตสาหกรรมบัตรชำระเงิน (Visa, MasterCard, AmEx, ฯลฯ ... ) กำหนดให้ บริษัท ที่ดำเนินการบัตรเครดิตต้องปฏิบัติตามอุตสาหกรรมบัตรชำระเงิน - มาตรฐานความปลอดภัยข้อมูล (PCI-DSS) ส่วนของ PCI-DSS กำหนดให้คู่ค้าของ บริษัท ต้องปฏิบัติตาม PCI-DSS (ซึ่งแน่นอนว่าต้องใช้นโยบายเป็นลายลักษณ์อักษร)

ตรงไปตรงมาถ้าฉันอนุญาตให้คุณเข้าถึงเครือข่ายของคุณผ่าน VPN หรือการเชื่อมต่อโดยตรงจากนั้นฉันต้องการที่จะรู้ว่าคุณมีระดับความปลอดภัยระดับหนึ่งไม่เช่นนั้นฉันจะเปิดรับทุกประเด็นที่อาจเป็นปัญหา

นั่นเป็นเหตุผลที่การรับรอง PCI หรือ ISO 27001 สามารถเป็นประโยชน์ในเรื่องนี้เพราะคุณสามารถให้องค์กรภายนอกรู้ว่าคุณมีการจัดการสิ่งต่าง ๆ ในระดับหนึ่ง หากนโยบายของคุณเป็นเรื่องทั่วไปที่ควรใช้นโยบายก็อาจไม่มีปัญหาในการส่งสำเนาให้คู่ของคุณ อย่างไรก็ตามหากพวกเขาต้องการดูขั้นตอนเฉพาะหรือข้อมูลความปลอดภัยฉันก็จะไม่ปล่อยให้สิ่งนั้นออกจากเว็บไซต์ของฉัน

Kara มีคำแนะนำที่ดีเกี่ยวกับสิ่งที่คุณต้องการครอบคลุมในนโยบายของคุณ นี่คือตัวอย่างของนโยบาย

นโยบายการสำรอง / กู้คืนระบบ IT-001

I. บทนำ ส่วนนี้พูดถึงความสำคัญของการสำรองข้อมูลวิธีที่คุณวางแผนที่จะทดสอบและเก็บสำเนาไว้นอกสถานที่

ครั้งที่สอง วัตถุประสงค์ A. นโยบายนี้จะครอบคลุมความถี่การจัดเก็บและการกู้คืน B. นโยบายนี้ครอบคลุมถึงข้อมูลระบบปฏิบัติการและซอฟต์แวร์แอพ C. ขั้นตอนการสำรอง / กู้คืนทั้งหมดจะต้องมีการจัดทำเอกสารและเก็บไว้ในที่ปลอดภัย

III ขอบเขต ส่วนนี้บันทึกว่านโยบายครอบคลุมเซิร์ฟเวอร์และสินทรัพย์ข้อมูลทั้งหมดใน บริษัท ของคุณ (และพื้นที่เฉพาะอื่น ๆ เช่นสำนักงานดาวเทียม)

IV หน้าที่และความรับผิดชอบ A. ผู้จัดการ - ตัดสินใจว่าจะทำการสำรองข้อมูลกำหนดความถี่สื่อและขั้นตอนตรวจสอบว่ามีการสำรองข้อมูลเกิดขึ้นหรือไม่ B. ผู้ดูแลระบบ - ดำเนินการสำรองข้อมูลตรวจสอบการสำรองข้อมูลทดสอบการสำรองข้อมูลสำรองการขนส่ง การหมุนของการสำรองข้อมูลปู่ / พ่อ / ลูกชาย C. ผู้ใช้ - มีอินพุตในสิ่งที่ได้รับการสำรองข้อมูลจะต้องวางข้อมูลในตำแหน่งที่กำหนดให้ทำการสำรอง

V. คำอธิบายนโยบายการ สำรองข้อมูล - ทุกสิ่งที่คุณต้องการพูดเกี่ยวกับการสำรองข้อมูลในแง่ทั่วไปการกู้คืน - ทุกสิ่งที่คุณต้องการพูดเกี่ยวกับการกู้คืนในแง่ทั่วไป

คำแนะนำทีละขั้นตอนเฉพาะควรอยู่ในขั้นตอนที่แยกต่างหาก / เอกสารคำแนะนำการทำงาน อย่างไรก็ตามหากคุณมีองค์กรขนาดเล็กมากคุณอาจไม่แยกนโยบายออกจากขั้นตอน

ฉันหวังว่านี่จะช่วยและให้ข้อมูลที่เป็นประโยชน์กับคุณ

เดวิดหยู
แหล่งที่มา
+1 เพราะฉันยินดีที่จะเดิมพันจริง ๆ แล้วมันเป็นสัญญาที่อาจเกี่ยวข้องกับ PCI (บัตรเครดิต PCI ไม่ใช่ตัวเชื่อมต่อบัสเก่า) หากเป็นกรณีนี้พวกเขาไม่ต้องการสเป็คเต็มรูปแบบเพียงสิ่งที่มีผลต่อการปฏิบัติตาม PCI ของพวกเขา
Matt
1

ฉันต้องเขียนหนึ่งในไม่ช้านี้และมันก็ไม่ได้ยากเกินไป จริงอยู่ที่ประเด็นของการตัดเย็บเสื้อผ้าก็มีความสำคัญเนื่องจากรายละเอียดบางอย่างจะใช้ในการอธิบายมากกว่าคนอื่น NISTยังมีห้องสมุดขนาดใหญ่ที่ให้บริการฟรีสิ่งพิมพ์ออนไลน์ที่อธิบายถึงมาตรการรักษาความปลอดภัยสำหรับวัตถุประสงค์ต่าง ๆ คุณสามารถใช้สิ่งเหล่านี้เพื่อเป็นแนวคิดที่คุณไม่แน่ใจว่าจะเรียกการรักษาความปลอดภัยประเภทใด

ต่อไปนี้เป็นหมวดหมู่ทั่วไปที่ครอบคลุมในคำระดับสูงว่า:

  • นโยบายการเก็บรักษาข้อมูล
  • ขั้นตอนการสำรองข้อมูล / เข้าถึงการสำรองข้อมูล
  • ข้อ จำกัด การเข้าถึงภายในองค์กร (ทางกายภาพและเสมือน)
    • เครือข่าย (ไร้สาย, สาย)
    • ฮาร์ดแวร์ (เซิร์ฟเวอร์เวิร์คสเตชั่นสถานที่ทำงานออฟไลน์ / Telework)
    • โฮสติ้ง / ศูนย์ข้อมูล (สำคัญหากคุณกำลังจัดเก็บข้อมูลพันธมิตร)
    • ระบบปฏิบัติการ
  • การคัดกรองบุคลากร

รายการนี้สามารถขยายหรือลดตามข้อมูลที่จำเป็นในขณะนี้ นอกจากนี้ไม่จำเป็นต้องกังวลถ้าคุณยังไม่ได้มีทั้งหมดนี้ในสถานที่ คำแนะนำของฉันคือการอธิบายนโยบาย 'ตั้งใจ' ของคุณ แต่พร้อมที่จะขยายในทันทีสำหรับสิ่งที่ขาดไป พร้อมที่จะรับการเรียกในสิ่งที่คุณอ้างว่าไม่ว่าจะเป็นไปได้เพียงใด (ทนายความจะไม่สนใจในภายหลัง)

Dana the Sane
แหล่งที่มา
1

ฉันจะได้รับพร้อมที่ปรึกษาด้านกฎหมายของ บริษัท ของคุณเพื่อเริ่มต้นโดยเฉพาะอย่างยิ่งเนื่องจากเป็นส่วนหนึ่งของสัญญา

โจเซฟ
แหล่งที่มา
1

เพื่อตอบสนองความต้องการที่คุณต้องส่งสำเนาเอกสารนโยบายความปลอดภัยของคุณจะเป็นการต่อต้านความปลอดภัยเล็กน้อย ฉันได้เขียนนโยบายความปลอดภัยของเราและดึงเอกสารส่วนใหญ่จากเทมเพลตของ SAN คนอื่น ๆ ที่คุณสามารถกรอกด้วยการค้นหานโยบายเฉพาะใน Google วิธีที่เราจัดการกับบุคคลภายนอกที่ต้องการดูนโยบายคือให้พวกเขานั่งลงในสำนักงานผู้อำนวยการฝ่ายปฏิบัติการของเราและให้พวกเขาอ่าน นโยบายของเราคือนโยบายไม่เคยออกจากอาคารและโดยเฉพาะอย่างยิ่งสายตาของเรา เรามีข้อตกลงที่บุคคลที่สามใด ๆ จะต้องเห็นด้วยเมื่อทำงานในความสามารถเฉพาะที่จะต้องเข้าถึงข้อมูลของเรา และพวกเขาเป็นกรณี ๆ ไป นโยบายนี้อาจไม่เหมาะกับสภาพแวดล้อมของคุณและนโยบายทั้งหมดที่อยู่ใน SAN '

TechGuyTJ
แหล่งที่มา
ดีใจที่ฉันไม่ใช่คนเดียวที่มีประสบการณ์นี้
MathewC
มันน่าสนใจ แต่เป็นประสบการณ์ที่ยอดเยี่ยม ผู้ใช้ของฉันอาจไม่ชอบฉันมากนัก แต่ถ้าคุณมองจากมุมมองทางสถิติ ฉันอ่านใน eweek หรือ informationweek ว่าที่ใดที่หนึ่งในละแวกใกล้เคียง 70% ของ บริษัท ทั้งหมดที่ประสบกับการละเมิดความปลอดภัยล้มเหลวในการกู้คืนและภายใน 2 ปีในการหาช่องโหว่ที่ปิดประตู
TechGuyTJ
1

เป็นการปฏิบัติที่เป็นมาตรฐานหรือไม่: ประสบการณ์ของฉันคือใช่สำหรับบางอุตสาหกรรมที่มีการควบคุมเช่นธนาคารอาหารพลังงาน ฯลฯ

มีรูปแบบมาตรฐานหรือไม่: มีหลายมาตรฐาน แต่หากสัญญาของคุณไม่ได้ระบุมาตรฐาน (เช่น ISO) คุณควรตกลงตามสัญญาเพื่อกำหนดรูปแบบที่คุณเลือก

มันไม่ควรยาก คุณมีมาตรฐานการแพตช์และรหัสผ่านอยู่แล้วดังนั้นเอกสารควรระบุว่ามาตรฐานนั้นคืออะไรและคุณมั่นใจได้อย่างไรว่าได้ปฏิบัติตาม อย่าตกหลุมพรางในการใช้เวลามากเกินไปทำให้มันสวย แค่เอกสารง่าย ๆ ก็พอเพียงแล้ว

หากสัญญาของคุณระบุว่าใช้มาตรฐานเฉพาะคุณควรขอความช่วยเหลือจากผู้เชี่ยวชาญเพื่อให้แน่ใจว่าคุณปฏิบัติตามสัญญา

Shawn Anderson
แหล่งที่มา
1

เราได้รับคำถามนี้มากเพราะเราเป็นผู้ให้บริการโฮสติ้ง บรรทัดล่างคือเราไม่ให้ออกนอกเสียจากว่าเรารู้ว่าสิ่งที่พวกเขากำลังมองหาล่วงหน้า หากพวกเขากำลังมองหาบางสิ่งบางอย่างในนโยบายความปลอดภัยของเราที่เราไม่มีโดยทั่วไปแล้วเป็นเพราะลักษณะของธุรกิจของเราไม่ต้องการและเราก็บอกพวกเขา นั่นอาจเป็นเรื่องส่วนตัว แต่มันก็ไม่สำคัญ - เรายังต้องสูญเสียธุรกิจเพราะมัน บ่อยครั้งที่พวกเขาถามเพราะพวกเขาต้องบอกคนอื่นว่าพวกเขาทำ คำตอบ 'ไม่' ไม่จำเป็นต้องเป็นสิ่งที่ไม่ดีหรือเครื่องทำลายข้อตกลง

เราเพิ่งผ่านการรับรอง SAS70 II ดังนั้นตอนนี้เราเพียงแค่ให้จดหมายแสดงความคิดเห็นของผู้สอบบัญชีและปล่อยให้นโยบายนั้นเป็นลายลักษณ์อักษร

Scott Kantner
แหล่งที่มา
0

คุณจะต้องมี NDA ก่อนที่จะแสดงอะไร จากนั้นฉันจะให้พวกเขาเข้ามาและทบทวนนโยบายความปลอดภัย แต่ไม่มีสำเนาเลย

MathewC
แหล่งที่มา
ฉันจะไม่ลงคะแนนให้คุณ แต่ในขณะที่ฉันจะไม่เผยแพร่การแบ่งปันกับพันธมิตรทางธุรกิจนั้นไม่ได้เกิดจากคำถาม แม้ว่ามันจะไม่เหมือนกันในทุก บริษัท ที่ฉันเคยทำงาน แต่แผนกไอทีของฉันก็มีอยู่สำหรับความต้องการทางธุรกิจเหนือสิ่งอื่นใด ฉันจินตนาการว่าการแบ่งปันแผนความปลอดภัยด้านไอทีของเรานั้นคล้ายกับการแชร์กระบวนการทางธุรกิจหรือแผนธุรกิจ
reconbot
ฉันผ่านการปฏิบัติตาม SAS70 และ "พันธมิตร" หลายคนจะอนุญาตให้ตรวจทานได้เท่านั้น มันเป็นความรับผิดชอบที่จะมีบางสิ่งบางอย่างในการพิมพ์ที่ระบุว่าคุณทำอะไรแล้วคุณไม่ทำหรือคุณทำสิ่งที่ทำให้เกิดปัญหา ฉันขอโทษคุณไม่เห็นด้วย แต่ฉันได้ให้ความเห็นจากประสบการณ์ ฉันไม่คิดว่าสมควรได้รับ downvote
MathewC
แค่ชัดเจนฉันไม่ลงคะแนนให้คุณ ไม่จำเป็นต้องทำเช่นนั้น ประสบการณ์ของคุณเป็นสิ่งที่ฉันชอบที่จะได้ยิน ขอบคุณ!
reconbot
ถ้าฉันมีตัวแทนฉันจะลงคะแนนให้คุณ พวกเขาไม่จำเป็นต้องลงนามใน NDA เพียงเพื่อดูนโยบายความปลอดภัยไอที / นโยบายความมั่นคงสารสนเทศของคุณ (มีความแตกต่างระหว่างนโยบายและมาตรฐาน / ขั้นตอน) มีเหตุผลมากมายที่จำเป็นสำหรับการดูนโยบายความมั่นคงสารสนเทศ (การปฏิบัติตาม Sox, PCI DSS, ฯลฯ ) องค์กรส่วนใหญ่ทำให้เป็นสาธารณะโดยสมบูรณ์: obfs.uillinois.edu /manual/central_p/sec19-5.html
Josh Brower
มันเป็นข้อควรระวัง หากคุณไม่ต้องการที่จะใช้เพื่อป้องกันตัวเองแล้วมันก็อยู่ที่คุณ ฉันให้เหตุผลที่ถูกต้องว่าทำไมคุณไม่ควรทำ และฉันขอโทษคุณไม่มีตัวแทนลงคะแนนให้ฉัน ฉันต้องการจองคะแนนโหวตลงสำหรับคำตอบที่ไม่ดี / เป็นอันตรายไม่ใช่นโยบายที่ฉันไม่เห็นด้วย
MathewC
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.