Estamos obligados a escribir una "política de seguridad de la información" para nuestra empresa, y quiero saber cuánto debemos cubrir, y si hay alguna plantilla o ejemplo que ayude.
Consulte el manual de CISSP sobre políticas de seguridad, también consulte todos los dominios de seguridad que cubren, ya que deberían ser parte de su política (en un nivel alto). También hay recursos como SANS que puede proporcionarle alguna orientación. También consulte este documento de GIAC que cubre lo que cubre una buena política de seguridad .
El documento que escribirá será la política vigente, lo que significa que cubrirá un alto nivel de requisitos por dominio de seguridad. Cada dominio debe implementar la seguridad en un estándar de tecnología independiente (que cubre detalles específicos sobre el dominio) y luego una línea de base específica de la tecnología. P.ej. un estándar de red se implementa en una línea de base para Cisco IOS Routing, Cisco IOS Switching, Juniper Routers, ...
Me imagino que lo que está pensando aquí es que hay varios estándares de cumplimiento que mencionan específicamente la existencia de una "política de seguridad de la información". Normalmente, este es un documento de alto nivel que cubre los principios de seguridad de la información a los que la organización se suscribe y es aprobado por la junta / CEO para indicar su compromiso de abordar los problemas de seguridad de la información. También se utiliza para formar la base de políticas de nivel inferior que deberían implementar aspectos específicos de los principios establecidos en el documento de nivel superior.
En términos de obtener algunas muestras para este tipo de cosas, recomiendo mirar la serie de documentos ISO27000 y las personas que ofrecen servicios en torno a eso, ya que normalmente la política de Infosec formará parte de cualquier conjunto de documentación ISO27001.
Algo como esto muestra el tipo de contenido que normalmente se vería en ese tipo de documento, aunque los detalles dependerán de su organización / industria, etc.
enlace Sans tiene un buen conjunto de plantillas.
En cuanto a qué / cuánto cubrir. Para la primera versión se adhieren a algo muy básico. Obtener algo que se pueda seguir es más importante que una cobertura del 100%. Recuerde que este documento es actual y actualizable.
Comience con las 5 palabras como los reporteros: quién, qué, dónde, cuándo, por qué. ¿A quién se aplica esta política? (Empleados, contratistas, invitados, etc ...) ¿A qué se aplica esta política? (escritorios, servidores, servicios, byod, etc ...) ¿Dónde se aplica esta política? (¿En qué ubicación realiza actividades comerciales, incluidos los sitios de DR, las instalaciones de alojamiento, etc.?) ¿Cuándo se aplica esta política? (es una ventana de tiempo, se aplica para los empleados desde el inicio hasta que dejan el empleo, si tienen otros dispositivos, las políticas se extienden después de las horas, etc.) ¿Por qué existe esta política? (Este debe ser el primero, pero debe explicar el motivo de la política, un proceso de revisión de la política, quién es el propietario y un período de revisión obligatorio. Sugiero que todos los años, a menos que sea necesario).
Lea otras preguntas en las etiquetas corporate-policy