¿Qué temas son más importantes para cubrir en la Política de seguridad corporativa?

5

¿Qué pasa con una política de privacidad? Tanto internos, como externos.

    
pregunta AviD 17.11.2010 - 02:07
fuente

4 respuestas

7

Puntos clave:

Debe describir la aceptación / el apetito de seguridad de la organización para que los estándares que respaldan la política se puedan definir en el entorno correcto.

También debe definir responsabilidades, propiedad y patrocinio.

Se actualizó solo para proporcionar algunos ejemplos, ya que dejé esta hermosa luz. A un alto nivel, debe tener las políticas mínimas que le permitan medir, comprender y regular su riesgo tecnológico. Estos también serán necesarios desde una perspectiva de gobernabilidad en muchos entornos -

  • Política de seguridad de la información
  • Política de clasificación de información
  • Política de uso aceptable
  • Política de retención de datos
  • Política de protección de datos
  • Política de evaluación de riesgos

Probablemente también querrá ver lo siguiente si proporciona servicios o productos a organizaciones más grandes, ya que pueden ejecutar un esquema de gobierno que incluya a sus terceros -

  • Responsabilidad social y corporativa Política
  • Política medioambiental
  • Política de igualdad de oportunidades

En el Reino Unido, debe definir sus requisitos de protección de datos con respecto a la Ley de protección de datos de 1998. También debe construir su marco de políticas teniendo en cuenta la familia de normas ISO27001, al igual que muchas auditorías y evaluaciones de seguridad para el regulador y para el La pieza de auditoría legal de TI está estructurada alrededor de 27001.

    
respondido por el Rory Alsop 20.12.2010 - 12:00
fuente
5

Una política de seguridad corporativa debe ser breve, fácil de leer y en términos generales. Básicamente, debería enumerar cuáles son las amenazas y riesgos generales para la empresa y el enfoque general para mitigarlos.

Por ejemplo, si tiene una compañía cuyo valor está en los datos que almacena en una base de datos, una política de seguridad corporativa puede establecer que la base de datos debe estar protegida con controles de seguridad de múltiples niveles, incluidos controles de acceso a la red y controles de encriptación, y tal vez esos datos confidenciales deben almacenarse en sistemas que existen bajo un estricto control de cambios.

La implementación de esos detalles dependerá más específicamente del propio sistema y de las tecnologías estandarizadas elegidas por la empresa, por lo que se debe detallar en la documentación de nivel inferior.

    
respondido por el growse 19.11.2010 - 16:57
fuente
5

Estoy de acuerdo con los comentarios anteriores: la política "correcta" depende en gran medida de su organización.

Sin embargo, puede ser útil revisar la serie ISO / IEC 27000, que es un conjunto de estándares para la gestión de seguridad de la información que a menudo adoptan grandes organizaciones de TI ( enlace , enlace ).

Por ejemplo, 27002 es un "código de práctica" que cubre cosas como:

  • Evaluación de riesgos y tratamiento
  • Política de seguridad
  • Organización de seguridad
  • Clasificación y control de activos
  • Seguridad del personal
  • Seguridad física y ambiental
  • Gestión de comunicaciones y operaciones
  • Control de acceso
  • Desarrollo y mantenimiento del sistema
  • Gestión de incidentes de seguridad de la información
  • Gestión de la continuidad del negocio
  • Cumplimiento

Incluso si no lo adoptas completamente, comenzaría con ese estándar para desarrollar un borrador de tabla de contenidos para tu política.

    
respondido por el Dan 22.12.2010 - 18:16
fuente
1

Eso depende: ¿cuáles son los mayores riesgos para su negocio? La política de seguridad no debe tener que ver con exigir antivirus, ya que todos los niños geniales tienen antivirus, deben entender qué amenazas son más importantes para que usted mitigue, y definir una estrategia (aunque no tácticas). ) para realizar dicha mitigación.

    
respondido por el user185 19.11.2010 - 14:50
fuente

Lea otras preguntas en las etiquetas