¿Dominio de la Política de notificación o notificación de incidentes?

Navega tus respuestas
4

Estoy escribiendo una política de la compañía sobre cómo los empleados deben manejar los informes de eventos relacionados con la seguridad de la información y las notificaciones que provienen de proveedores, clientes y personas de nuestra organización.

por ejemplo

  1. Si un cliente llama y dice que sus datos se han visto comprometidos y somos los culpables
  2. Alguien recibe correos electrónicos no solicitados o sospechosos de nuestro dominio.
  3. Cuadros emergentes extraños en estaciones de trabajo
  4. etc.

Nota: Todavía no tenemos una Política de respuesta a incidentes o una Política de seguridad de la información.

Mi pregunta es si este tipo de documento es una política por derecho propio o como parte de una política de seguridad de la información o política de respuesta a incidentes más amplia. Actualmente lo estoy llamando "Política de informes de seguridad de la información". ¿Está esto incluido en una política de seguridad de la información o política de respuesta a incidentes o podría ir de cualquier manera o no importa mientras esté escrito, sea claro, comprendido y seguido?

Quería un documento simple de una página que pudiera ser revisado por los usuarios a través de la capacitación para nuevos empleados o por H.R ..

Básicamente dice ...

  1. Tipo de documento del problema y descripción
  2. ¿Quién informó? Solicite información de contacto (nombre, teléfono, correo electrónico) y dé su consentimiento para ser contactado por personal de seguridad o gerencia
  3. Fecha y hora de ocurrencia del documento
  4. Si es aplicable a la situación, pregunte por el sistema operativo, el navegador, A / V, el uso de cortafuegos, el uso de la red inalámbrica, etc.
  5. Cómo y a quién informar (escalar)

¿Se debe mencionar, eliminar o modificar algo más? ¿Esto suena razonable, qué piensas?

Gracias Jon

    
pregunta jonschipp 21.03.2013 - 17:19
fuente

2 respuestas

2

Está describiendo un procedimiento (es decir, "cómo hacer X"), no una política ("Hacer X"). Como tal, el nombre del procedimiento realmente no importa. Lo que importa es que hace referencia y está respaldado por una o más políticas de nivel superior.

Una política de seguridad de la información debe cubrir mucho más de lo que ha descrito; No me atrevería a titular el procedimiento "Política de seguridad de la información"; sería como etiquetar el teclado "Mi computadora". El ejemplo se ha exagerado intencionalmente, pero si su empresa fue auditada y los auditores encontraron que su documento de una sola página era el único documento etiquetado como "Política de seguridad de la información", entonces habría autorizado implícitamente todas las acciones no cubiertas por esa política. (No sé si su empresa está sujeta a auditorías. Ha incluido una etiqueta pci que me hace creer que es una posibilidad).

En general, la política de seguridad de la información incluye la política de respuesta a incidentes. Los procedimientos están escritos para implementar las políticas.

    
respondido por el Mark C. Wallace 22.03.2013 - 13:55
fuente
1

Al llamarlo Política de respuesta a incidentes, le da más peso. Siempre que sea posible, automatice el proceso de recopilación de datos de fondo (fecha / hora, sistema operativo, etc.) si planea usarlo internamente.

Si lo entiendo correctamente, el documento maneja los incidentes del cliente y del lugar de trabajo. ¿No deberían estar separados los dos? Entonces, uno podría ser una política y la otra parte de una política.

Ambos títulos son buenos. La política de seguridad de la información sería más adecuada para un documento interno mientras que la respuesta a incidentes se adapta a las políticas orientadas al cliente. Pero no importa ni un poco, siempre que se siga y comprenda adecuadamente (y se lo recuerde periódicamente).

    
respondido por el rath 22.03.2013 - 13:09
fuente

Lea otras preguntas en las etiquetas

Prueba de seguridad de la aplicación web AngularJS Impedir DOS contra la autenticación RSA