我的公司正在与另一家公司合作,作为合同的一部分,他们要求提供我公司书面 IT 安全政策的副本。我没有书面的 IT 安全政策,也不确定我想给他们什么。我们是微软商店。我们有更新计划、有限访问帐户来管理服务器、防火墙、ssl 证书,并且我们不时运行 Microsoft Baseline Security Analyzer。
我们配置服务和用户帐户,因为我们认为大多数情况下是安全的(当您无法完全控制您运行的软件时,这很困难),但我不能深入每个细节,每个服务和服务器都是不同的。我得到了更多关于他们想要什么的信息,但我觉得他们好像是在钓鱼探险。
我的问题是,这是要求提供此信息的标准做法吗?(老实说,我并不反对它,但以前从未发生过。)如果这是标准的,是否有标准格式和我应该呈现的预期详细程度?
他们不需要您的整个内部 IT 政策的副本,但我认为他们可能会寻求与此类似的内容 - 肯定有人需要为您提供有关合同的足够信息,以确定您需要提供多少细节以及提供什么。尽管我同意 Joseph 的观点 - 如果他们出于法律/合规原因需要信息,则需要有法律意见。
背景资料
1) 您的任何员工是否位于美国境外?
2) 贵公司是否制定了正式的文件化信息安全政策?
3) 您的信息安全政策是否涵盖信息和数据的处理和分类?
4) 您目前在您经营所在的州是否有任何未解决的监管问题?如果是,请解释。
一般安全
1) 您是否有针对员工和承包商的信息安全意识培训计划?
2) 您目前使用以下哪些方法来验证和授权对您的系统和应用程序的访问:
3) 谁授权员工、承包商、临时工、供应商和业务合作伙伴访问?
4) 您是否允许您的员工(包括承包商、临时工、供应商等)远程访问您的网络?
5) 您是否有信息安全事件响应计划?若否,如何处理信息安全事件?
6) 您是否制定了处理发送给公司外部的电子邮件中的内部或机密信息的政策?
7) 您是否至少每年审查一次您的信息安全政策和标准?
8) 采取了哪些方法和物理控制措施来防止未经授权访问贵公司的安全区域?
9) 请描述所有环境的密码策略?IE。长度、强度和老化
10) 您是否有灾难恢复 (DR) 计划?如果是,你多久测试一次?
11) 您是否有业务连续性 (BC) 计划?如果是,你多久测试一次?
12) 如果需要,您会向我们提供您的测试结果(BC 和 DR)的副本吗?
架构和系统审查
1) [公司] 的数据和/或应用程序是否会在专用或共享服务器上存储和/或处理?
2) 如果在共享服务器上,[The Company] 的数据如何与其他公司的数据进行分割?
3) 将提供哪些类型的公司间连接?
4) 这个网络连接会被加密吗?如果是,将使用什么加密方法?
5) 是否需要任何客户端代码(包括 ActiveX 或 Java 代码)才能使用该解决方案?如果是,请描述。
6) 您是否有防火墙来控制对您的 Web 服务器的外部网络访问。如果不是,该服务器位于何处?
7) 您的网络是否包括用于 Internet 访问应用程序的 DMZ?如果不是,这些应用程序位于何处?
8) 贵组织是否采取措施防止拒绝服务中断?请描述这些步骤
9) 您是否执行以下任何信息安全审查/测试
10) 以下哪些信息安全实践正在您的组织内积极使用
11) 你有强化或保护你的操作系统的标准吗?
12) 您是否有将更新和热修复应用到您的操作系统的时间表?如果不是,请告诉我们您如何确定应用补丁和关键更新的内容和时间
13) 为防止电源或网络故障,您是否为关键事务系统维护完全冗余的系统?
网络服务器(如果适用)
1) 用于访问应用程序/数据的 URL 是什么?
2) Web 服务器是什么操作系统?(请提供操作系统名称、版本和服务包或补丁级别。)
3) 什么是网络服务器软件?
应用程序服务器(如果适用)
1) 应用服务器是什么操作系统?(请提供操作系统名称、版本和服务包或补丁级别。)
2)什么是应用服务器软件?
3) 您是否使用基于角色的访问控制?如果是,如何为角色分配访问级别?
4) 你如何确保适当的授权和职责分离到位?
5) 您的应用程序是否采用多级用户访问/安全性?如果是,请提供详细信息。
6) 您的应用程序中的活动是否受到第三方系统或服务的监控?如果是,请向我们提供公司和服务名称以及正在监控的信息
数据库服务器(如果适用)
1) 数据库服务器是什么操作系统?(请提供操作系统名称、版本和服务包或补丁级别。)
2) 正在使用哪些数据库服务器软件?
3) 数据库是否被复制?
4) 数据库服务器是集群的一部分吗?
5) 采取了哪些措施(如果有的话)将 [The Company] 的数据与其他公司隔离开来?
6) [公司] 的数据在存储在磁盘上时会被加密吗?如果是,请描述加密方法
7) 如何捕获源数据?
8) 如何处理数据完整性错误?
审计和日志记录
1) 您是否将客户访问记录在:
2) 是否审查了日志?如果是,请说明流程以及审核频率?
3) 您是否提供系统和资源来维护和监控审计日志和事务日志?如果是,您会保留哪些日志以及将它们存储多长时间?
4) 您是否允许 [公司] 查看您的系统日志,因为它们与我们公司有关?
隐私
1) 当不再需要时,用于解密/删除/丢弃[公司]数据的流程和程序是什么?
2) 您是否在任何时候错误或意外披露了客户信息?
如果是,您从那以后采取了哪些纠正措施?
3) 承包商(非员工)是否可以访问敏感或机密信息?如果是,他们是否签署了保密协议?
4) 您是否有授权供应商访问和维护您的网络、系统或应用程序?如果是,这些供应商是否签订了提供保密、背景调查和保险/损失赔偿的书面合同?
5) 您的数据是如何分类和保护的?
运营
1) 备份的频率和级别是多少?
2) 备份的现场保留期是多久?
3)您的备份以什么格式存储?
4) 您是否将备份存储在异地位置?如果是,保留期限是多少?
5) 你加密你的数据备份吗?
6) 你如何确保只执行有效的生产程序?
只有在与受监管的行业(银行)或政府合作时,我才被要求提供此信息。
我本身并不知道“标准格式”,但是当我不得不制作这些模板时,我总是得到一些模板,审计员给我的客户作为“起点”。
我可能会从一些 Google 搜索开始,看看我可以通过示例策略文档找到什么。SANS ( http://www.sans.org ) 也是另一个开始寻找的好地方。
就详细程度而言,我想说它可能需要根据受众和目的进行调整。除非我被特别要求提供低级别的细节,否则我会保持高层次的细节。
公司可能希望查看您的安全策略有几个不同的原因。一个例子是支付卡行业(Visa、MasterCard、AmEx 等)要求处理信用卡的公司必须遵守支付卡行业 - 数据安全标准 (PCI-DSS)。PCI-DSS 的一部分要求公司的合作伙伴也必须遵守 PCI-DSS(这当然需要书面政策)。
坦率地说,如果我允许您通过 VPN 或直接连接访问您的网络,那么我想知道您是否具有一定程度的安全性,否则我将面临各种潜在问题。
这就是为什么通过 PCI 或 ISO 27001 认证在这方面可能是一个福音,因为您可以让外部组织知道您已经处理了一定程度的事情。如果您的政策非常笼统,应该是哪些政策,那么向您的合作伙伴提供副本可能不是问题。但是,如果他们想查看特定程序或安全信息,那么我不会让它离开我的网站。
Kara 对您希望在保单中涵盖的内容提供了一些出色的指导。这是一个策略示例。
IT-001 系统备份/恢复策略
I. 简介 本节讨论备份的重要性,以及您计划如何测试和将副本保存在异地。
二、目的 A. 本政策将涵盖频率、存储和恢复 B. 本政策涵盖数据、操作系统和应用软件 C. 所有备份/恢复程序必须记录在案并保存在安全的地方
三、范围 本节指出,该政策涵盖贵公司(以及任何其他特定区域,如卫星办公室)中的所有服务器和数据资产。
四。角色和职责 A. 经理 - 决定备份的内容,确定备份的频率、介质和程序,还检查备份是否发生 B. 系统管理员 - 运行备份、检查备份、测试备份、传输备份、测试恢复、维护备份轮换祖父/父亲/儿子 C. 用户 - 输入备份内容,必须将数据放置在指定要备份的位置
V. 策略描述 备份 - 您想对一般意义上的备份说的所有内容 恢复 - 您想对一般意义上的恢复说的所有内容
具体的分步说明应在单独的程序/工作说明文件中。但是,如果您的组织非常小,您可能不会将策略与程序分开。
我希望这对您有所帮助并为您提供一些有用的信息。
我最近不得不写其中一个,但最终并没有太难。诚然,Even 关于剪裁的观点很重要,因为有些细节需要比其他细节更多的工作来描述。NIST还有一个大型的免费在线出版物库,描述了用于各种目的的安全措施,您可以将这些用于您不确定需要什么类型/程度的安全性的想法。
不过,这里有一些一般类别可以用高级术语来涵盖:
根据现在需要的大量信息,可以扩展或减少此列表。此外,如果您还没有完全准备好所有这些,也无需担心。我的建议是坚持描述您的“预期”政策,但准备好立即扩展它们以弥补任何不足。还要准备好接受你所声称的事情,无论这多么不可能(律师以后不会关心)。
我会先咨询贵公司的法律顾问,尤其是因为它是合同的一部分。
为了满足您必须发送安全策略文档副本的需要,这会有点违反安全性。我已经编写了我们的安全策略,并从 SAN 的模板中提取了大部分文档。您可以通过 Google 上的特定政策搜索填写其他内容。我们处理希望查看政策的外部人员的方式是让他们坐在我们的运营总监办公室并允许他们阅读。我们的政策是政策永远不会离开建筑物,更具体地说是我们的视线。当以需要访问我们信息的特定身份工作时,我们确实有任何第 3 方必须同意的协议。他们是根据具体情况而定的。此策略可能不适合您的环境,SAN 上的所有策略也可能不适合您的环境
这是标准做法吗:对于某些受监管的行业,例如银行、食品、能源等,我的经验是肯定的。
是否有标准格式:有许多标准,但如果您的合同没有指定标准(例如 ISO),那么您应该按照合同规定提供您选择的任何格式。
应该不难。您已经有了补丁和密码标准,因此文档应指定该标准是什么以及您如何确保遵循该标准。不要陷入花太多时间让它变得漂亮的陷阱。一个简单的文件就足够了。
如果您的合同规定使用特定标准,那么您应该寻求专业帮助以确保您符合合同规定。
我们经常收到这个问题,因为我们是托管机构。底线是,除非我们提前确切知道他们在寻找什么,否则我们不会将其泄露出去。如果他们在我们的安全策略中寻找我们没有的东西,这通常是因为我们的业务性质不需要它,我们会告诉他们。这可能是主观的,但没关系——我们还没有因此而失去任何业务。很多时候,他们问是因为他们必须告诉别人他们做了。“否”的回答不一定是坏事或破坏交易。
我们刚刚通过了 SAS70 II 认证,所以现在我们只提供审计师的意见书,并让它代表我们的书面政策。
在向他们展示任何东西之前,您需要一份 NDA。然后我会让他们来查看安全策略,但永远不会有它的副本。