एक साथी हमारी लिखित आईटी सुरक्षा नीति की एक प्रति चाहता है और मुझे यकीन नहीं है कि क्या करना है [बंद]

23

मेरी कंपनी दूसरी कंपनी के साथ काम कर रही है और अनुबंध के हिस्से के रूप में वे मेरी कंपनी की लिखित आईटी सुरक्षा नीति की एक प्रति का अनुरोध कर रहे हैं। मेरे पास लिखित आईटी सुरक्षा नीति नहीं है, और मुझे बिल्कुल यकीन नहीं है कि मैं उन्हें क्या देना चाहता हूं। हम एक Microsoft दुकान हैं। हमारे पास सर्वर, फायरवॉल, एसएसएल प्रमाणपत्रों को प्रबंधित करने के लिए शेड्यूल, सीमित एक्सेस खाते हैं और हम समय-समय पर Microsoft बेसलाइन सुरक्षा विश्लेषक चलाते हैं।

हम सेवाओं और उपयोगकर्ता खातों को कॉन्फ़िगर करते हैं, जैसा कि हम महसूस करते हैं कि ज्यादातर सुरक्षित और सुरक्षित है (यह कठिन है जब आपके पास क्या सॉफ्टवेयर है, इस पर पूर्ण नियंत्रण नहीं है), लेकिन मैं हर विस्तार में नहीं जा सकता, प्रत्येक सेवा और सर्वर अलग है। मुझे इस बारे में अधिक जानकारी मिल रही है कि वे क्या चाहते हैं लेकिन मुझे लगता है जैसे वे मछली पकड़ने के अभियान पर हैं।

मेरे प्रश्न हैं, क्या इस जानकारी के लिए पूछना एक मानक अभ्यास है? (मैं ईमानदारी से इसके खिलाफ नहीं हूं, लेकिन यह पहले कभी नहीं हुआ है।) और अगर यह मानक है, तो क्या कोई मानक प्रारूप और अपेक्षित स्तर का विवरण मुझे पेश करना चाहिए?

best-practices 
reconbot
स्रोत
1
पता चला कि हम c-tpat प्रमाणीकरण के लिए आवेदन कर रहे हैं। हमें केवल दो चीजों का पालन करना आवश्यक है। 1) पासवर्ड सुरक्षा 2) जवाबदेही ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/… ) अच्छे उत्तरों की अद्भुत मात्रा ने मुझे सोच में डाल दिया है, हालांकि, मैंने एक औपचारिक योजना बनाने के लिए एक परियोजना शुरू की है। अपनी सलाह का बहुत उपयोग करते हुए, प्रमाणन के लिए नहीं बल्कि अपने लिए।
20
यह सवाल वर्तमान सामयिकता नियमों के तहत ऑफ-टॉपिक है।
होपलेसनब

जवाबों:

44

उन्हें आपकी संपूर्ण आंतरिक IT नीति की प्रतिलिपि की आवश्यकता नहीं है, लेकिन मुझे लगता है कि वे इसके बाद भी कुछ इसी तरह के हो सकते हैं - किसी को निश्चित रूप से आपको अनुबंध के बारे में पर्याप्त जानकारी प्राप्त करने की आवश्यकता है कि आपको कितना विवरण प्रदान करने की आवश्यकता है, और किस बारे में। थो I मैं जोसेफ से सहमत हूं - यदि उन्हें कानूनी / अनुपालन कारणों से जानकारी की आवश्यकता है, तो कानूनी इनपुट की आवश्यकता है।

पृष्ठभूमि की जानकारी

1) क्या आपका कोई कर्मचारी अमेरिका के बाहर स्थित है?

2) क्या आपकी कंपनी ने सूचना सुरक्षा नीतियों को औपचारिक और दस्तावेजीकृत किया है?

3) क्या आपकी सूचना सुरक्षा नीतियों द्वारा सूचना और डेटा को संभालना और वर्गीकरण करना शामिल है?

4) क्या कोई बकाया विनियामक मुद्दे हैं जिन्हें आप वर्तमान में उस स्थिति में संबोधित कर रहे हैं जिसे आप संचालित कर रहे हैं? अगर हाँ है, कृपया समझाएँ।

सामान्य सुरक्षा

1) क्या आपके पास कर्मचारियों और ठेकेदारों के लिए एक सूचना सुरक्षा जागरूकता प्रशिक्षण कार्यक्रम है?

2) आपके सिस्टम और एप्लिकेशन तक पहुँच को प्रमाणित और अधिकृत करने के लिए निम्नलिखित में से कौन सी विधियाँ आप वर्तमान में उपयोग करते हैं:

  • ऑपरेटिंग सिस्टम द्वारा किया जाता है
  • वाणिज्यिक उत्पाद द्वारा निष्पादित
  • एक बार दर्ज करना
  • क्लाइंट-साइड डिजिटल प्रमाण पत्र
  • अन्य दो-कारक प्रमाणीकरण
  • घर उगाया
  • कोई प्रमाणीकरण तंत्र नहीं

3) कर्मचारियों, ठेकेदारों, टेम्पों, विक्रेताओं और व्यापार भागीदारों के लिए कौन अधिकृत करता है?

4) क्या आप अपने कर्मचारियों (ठेकेदारों, टेम्पों, विक्रेताओं, आदि सहित) को आपके नेटवर्क तक दूरस्थ पहुंच की अनुमति देते हैं?

5) क्या आपके पास सूचना सुरक्षा घटना प्रतिक्रिया योजना है? यदि नहीं, तो सूचना सुरक्षा घटनाओं को कैसे नियंत्रित किया जाता है?

6) क्या आपकी कोई ऐसी पॉलिसी है जो आपकी कंपनी के बाहर के ई-मेल संदेशों में आंतरिक या गोपनीय जानकारी को संभालने का काम करती है?

7) क्या आप कम से कम सालाना अपनी सूचना सुरक्षा नीतियों और मानकों की समीक्षा करते हैं?

8) आपकी कंपनी के सुरक्षित क्षेत्रों में अनधिकृत पहुंच को रोकने के लिए कौन से तरीके और भौतिक नियंत्रण हैं?

  • बंद कमरों में नेटवर्क सर्वर
  • सुरक्षा पहचान द्वारा सीमित सर्वर तक भौतिक पहुंच (एक्सेस कार्ड, बायोमेट्रिक्स, आदि)
  • वीडियो निगरानी
  • लॉग-इन और प्रक्रियाओं में साइन-इन करें
  • सुरक्षित क्षेत्रों में हर समय दिखाई देने वाला सुरक्षा बैज या आईडी कार्ड
  • सुरक्षा गार्ड
  • कोई नहीं
  • अन्य, कृपया अतिरिक्त विवरण प्रदान करें

9) कृपया सभी वातावरण के लिए अपनी पासवर्ड नीति का वर्णन करें? अर्थात। लंबाई, शक्ति और उम्र बढ़ने

10) क्या आपके पास एक आपदा वसूली (DR) योजना है? यदि हाँ, तो आप कितनी बार इसका परीक्षण करते हैं?

11) क्या आपके पास एक व्यवसाय निरंतरता (बीसी) योजना है? यदि हाँ, तो आप कितनी बार इसका परीक्षण करते हैं?

12) यदि आप अनुरोध किए जाने पर हमें अपने परीक्षण परिणामों (बीसी और डीआर) की एक प्रति प्रदान करेंगे?

वास्तुकला और प्रणाली की समीक्षा

1) क्या [कंपनी] के डेटा और / या अनुप्रयोगों को एक समर्पित या साझा सर्वर पर संग्रहीत और / या संसाधित किया जाएगा?

2) यदि एक साझा सर्वर पर, कैसे [कंपनी] के डेटा को अन्य कंपनियों के डेटा से खंडित किया जाएगा?

3) कंपनी-टू-कंपनी कनेक्टिविटी किस प्रकार (ओं) को प्रदान की जाएगी?

  • इंटरनेट
  • निजी / लीज्ड लाइन (जैसे, T1)
  • डायल करें
  • वीपीएन (वर्चुअल प्राइवेट नेटवर्क)
  • टर्मिनल सेवा
  • कोई नहीं
  • अन्य, कृपया अतिरिक्त विवरण प्रदान करें

4) क्या यह नेटवर्क कनेक्टिविटी एन्क्रिप्टेड होगी? यदि हाँ, तो एन्क्रिप्शन की किस विधि (ओं) का उपयोग किया जाएगा?

5) क्या समाधान का उपयोग करने के लिए कोई क्लाइंट-साइड कोड (एक्टिवएक्स या जावा कोड सहित) आवश्यक है? यदि हाँ, तो कृपया वर्णन करें।

6) क्या आपके पास अपने वेब सर्वर (नेटवर्क) तक बाहरी नेटवर्क पहुंच को नियंत्रित करने के लिए फ़ायरवॉल है। यदि नहीं, तो यह सर्वर कहाँ स्थित है?

7) क्या आपके नेटवर्क में अनुप्रयोगों के लिए इंटरनेट एक्सेस के लिए DMZ शामिल है? यदि नहीं, तो ये आवेदन कहाँ स्थित हैं?

8) क्या आपका संगठन डेनियल-ऑफ-सर्विस आउटेज के खिलाफ सुनिश्चित करने के लिए कदम उठाता है? कृपया इन चरणों का वर्णन करें

9) क्या आप निम्नलिखित में से कोई भी सूचना सुरक्षा समीक्षा / परीक्षण करते हैं

  • आंतरिक प्रणाली / नेटवर्क स्कैन
  • आंतरिक रूप से प्रबंधित स्व मूल्यांकन और / या परिश्रम समीक्षा
  • आंतरिक कोड समीक्षा / सहकर्मी समीक्षा
  • बाहरी तृतीय पक्ष प्रवेश परीक्षा / अध्ययन
  • अन्य, कृपया विवरण प्रदान करें कि ये परीक्षण कितनी बार किए गए हैं?

10) आपके संगठन के भीतर निम्नलिखित सूचना सुरक्षा प्रथाओं में से कौन सा सक्रिय रूप से उपयोग किया जा रहा है

  • एक्सेस कंट्रोल लिस्ट
  • डिजिटल सर्टिफिकेट - सर्वर साइड
  • डिजिटल सर्टिफिकेट - क्लाइंट साइड
  • डिजीटल हस्ताक्षर
  • नेटवर्क आधारित घुसपैठ का पता लगाना / रोकथाम करना
  • मेजबान आधारित घुसपैठ का पता लगाने / रोकथाम
  • घुसपैठ का पता लगाने / रोकथाम के हस्ताक्षर फ़ाइलों को निर्धारित अद्यतन
  • घुसपैठ की निगरानी 24x7
  • निरंतर वायरस स्कैनिंग
  • वायरस हस्ताक्षर फ़ाइलों के लिए अनुसूचित अद्यतन
  • पेनिट्रेशन अध्ययन और / या परीक्षण
  • कोई नहीं

11) क्या आपके पास अपने ऑपरेटिंग सिस्टम को सख्त या सुरक्षित करने के लिए मानक हैं?

12) क्या आपके पास अपने ऑपरेटिंग सिस्टम पर अपडेट और हॉट फ़िक्स लगाने के लिए कोई शेड्यूल है? यदि नहीं, तो कृपया हमें बताएं कि आप पैच और महत्वपूर्ण अपडेट लागू करने के लिए क्या और कब निर्धारित करते हैं

13) एक बिजली या नेटवर्क की विफलता से सुरक्षा प्रदान करने के लिए, क्या आप अपने प्रमुख लेनदेन प्रणालियों के लिए पूरी तरह से निरर्थक प्रणालियों को बनाए रखते हैं?

वेब सर्वर (यदि लागू हो)

1) वह URL क्या है जिसका उपयोग एप्लिकेशन / डेटा तक पहुंचने के लिए किया जाएगा?

2) वेब सर्वर (s) क्या ऑपरेटिंग सिस्टम है? (कृपया OS नाम, संस्करण और सर्विस पैक या पैच स्तर प्रदान करें।)

3) वेब सर्वर सॉफ्टवेयर क्या है?

एप्लिकेशन सर्वर (यदि लागू हो)

1) क्या ऑपरेटिंग सिस्टम (s) अनुप्रयोग सर्वर है? (कृपया OS नाम, संस्करण और सर्विस पैक या पैच स्तर प्रदान करें।)

2) एप्लिकेशन सर्वर सॉफ्टवेयर क्या है?

3) क्या आप भूमिका आधारित अभिगम नियंत्रण का उपयोग कर रहे हैं? यदि हाँ, तो भूमिकाओं तक पहुँच के स्तर कैसे सौंपे जाते हैं?

४) आप यह कैसे सुनिश्चित करते हैं कि कर्तव्यों का उपयुक्त प्राधिकरण और पृथक्करण हो रहा है?

5) क्या आपका एप्लिकेशन मल्टी-लेवल यूजर एक्सेस / सिक्योरिटी को नियोजित करता है? यदि हां, तो विवरण प्रदान करें।

6) क्या आपके आवेदन में गतिविधियों की निगरानी किसी तीसरे पक्ष के सिस्टम या सेवा द्वारा की जाती है? यदि हाँ, तो कृपया हमें कंपनी और सेवा का नाम प्रदान करें और किस सूचना पर नजर रखी जाए

डेटाबेस सर्वर (यदि लागू हो)

1) क्या ऑपरेटिंग सिस्टम (ओं) डेटाबेस सर्वर है? (कृपया OS नाम, संस्करण और सर्विस पैक या पैच स्तर प्रदान करें।)

2) कौन से डेटाबेस सर्वर सॉफ्टवेयर का उपयोग किया जा रहा है?

3) क्या DB की प्रतिकृति है?

4) क्या DB सर्वर एक क्लस्टर का हिस्सा है?

5) क्या (अगर कुछ भी) अन्य कंपनियों से [कंपनी] के डेटा को अलग करने के लिए किया जाता है?

6) क्या [कंपनी] का डेटा, जब डिस्क पर संग्रहीत किया जाता है, तो एन्क्रिप्ट किया जाएगा? यदि हाँ, तो कृपया एन्क्रिप्शन विधि का वर्णन करें

7) स्रोत डेटा को कैसे कैप्चर किया गया है?

8) डेटा अखंडता त्रुटियों को कैसे नियंत्रित किया जाता है?

ऑडिटिंग और लॉगिंग

1) क्या आप ग्राहक की पहुंच को लॉग ऑन करते हैं:

  • वेब सर्वर?
  • एप्लिकेशन सर्वर?
  • डेटाबेस सर्वर?

2) क्या लॉग की समीक्षा की गई है? यदि हाँ, तो कृपया इस प्रक्रिया की व्याख्या करें और उनकी कितनी बार समीक्षा की गई है?

3) क्या आप ऑडिट लॉग और ट्रांजेक्शन लॉग को बनाए रखने और मॉनिटर करने के लिए सिस्टम और संसाधन प्रदान करते हैं? यदि हाँ, तो आप किन लॉग को बनाए रखते हैं और आप उन्हें कब तक स्टोर करते हैं?

4) क्या आप [कंपनी] को आपके सिस्टम लॉग की समीक्षा करने की अनुमति देंगे क्योंकि वे हमारी कंपनी से संबंधित हैं?

एकांत

1) [कंपनी] के डेटा को अब आवश्यकता नहीं होने पर हटाने / हटाने / छोड़ने के लिए कौन सी प्रक्रिया और प्रक्रिया का उपयोग किया जाता है?

2) क्या आपने किसी भी समय गलती से या गलती से ग्राहक जानकारी का खुलासा कर दिया है?
यदि हाँ, तो आपने किन सुधारात्मक उपायों को लागू किया है?

3) क्या ठेकेदारों (गैर-कर्मचारियों) के पास संवेदनशील या गोपनीय जानकारी है? यदि हाँ, तो क्या उन्होंने एक गैर-प्रकटीकरण समझौते पर हस्ताक्षर किए हैं?

4) क्या आपके पास ऐसे वेंडर हैं जो आपके नेटवर्क, सिस्टम या एप्लिकेशन को एक्सेस करने और बनाए रखने के लिए अधिकृत हैं? यदि हाँ, तो ये विक्रेता लिखित अनुबंध के तहत गोपनीयता, पृष्ठभूमि की जाँच, और नुकसान के खिलाफ बीमा / क्षतिपूर्ति के लिए प्रदान कर रहे हैं?

5) आपका डेटा कैसे वर्गीकृत और सुरक्षित है?

संचालन

1) आपके बैक-अप की आवृत्ति और स्तर क्या है?

2) बैक-अप की ऑनसाइट रिटेंशन अवधि क्या है?

3) आपके बैकअप किस प्रारूप में संग्रहीत हैं?

4) क्या आप एक ऑफ-साइट स्थान पर बैकअप स्टोर करते हैं? यदि हाँ, तो अवधारण अवधि क्या है?

5) क्या आप अपने डेटा बैकअप को एन्क्रिप्ट करते हैं?

6) आप यह कैसे सुनिश्चित करते हैं कि केवल वैध उत्पादन कार्यक्रमों को ही निष्पादित किया जाए?

कारा मार्फिया
स्रोत
काड़ा यह सबसे अच्छी तरह से सोचा और विस्तृत प्रतिक्रियाओं में से एक है जिसे मैंने भी प्राप्त किया है। मैं अनुमान लगा रहा हूं कि आपने यह कुछ बार किया है।
reconbot
1
मुझे उन्हें भरने की आदत है, हां। ;) मुझे संदेह है कि वे अंधेरे, धुएं से भरे कमरे में विशाल समितियों द्वारा एक साथ रखे गए हैं ... मुझे खुशी है कि यह मदद करता है, थियो। आपके द्वारा सौंपी गई क्वैन्ड्री एसएफ के अस्तित्व का एक बड़ा कारण है।
कारा मार्फिया
1
"क्या आपका कोई कर्मचारी अमेरिका के बाहर स्थित है?" -- मजेदार। मेरे दृष्टिकोण से यह अमेरिका में स्थित एक कर्मचारी के लिए अधिक जोखिम वाला है । बिंदु यह है कि हम कानून से बंधे हैं कि किसी को भी डेटा या सर्वर (एक न्यायाधीश द्वारा अनुमोदन के बिना) का उपयोग न करने दें और हमारे वकीलों ने कहा कि यदि अमेरिका से कुछ कर्मचारी इस डेटा तक पहुंच पाते हैं तो वास्तव में इस आवश्यकता को पूरा नहीं किया जा सकता है: )
सर्वरहोल्ड
4

विनियमित उद्योगों (बैंकिंग) या सरकार के साथ काम करने के दौरान मुझे केवल इस जानकारी के लिए कहा गया है।

मैं प्रति मानक "मानक प्रारूप" के बारे में नहीं जानता, लेकिन तब मुझे हमेशा कुछ खाका दिया जाता है जो मेरे ग्राहक को एक ऑडिटर द्वारा "शुरुआती जगह" के रूप में दिया जाता है जब मुझे ये बनाना होता है।

मैं शायद कुछ Google खोजों के साथ शुरू करूँगा और देखूंगा कि मुझे नमूना नीति दस्तावेजों के तरीके में क्या मिल सकता है। SANS ( http://www.sans.org ) भी शुरू करने के लिए एक और अच्छी जगह है।

जहां तक ​​विस्तार का स्तर है, मैं कहूंगा कि इसे शायद दर्शकों और उद्देश्य के अनुरूप होना चाहिए। जब तक मुझे विशेष रूप से निम्न-स्तरीय विवरण प्रदान करने के लिए नहीं कहा गया था, मैं विस्तार को उच्च-स्तर पर रखूँगा।

इवान एंडरसन
स्रोत
मैं हमेशा सुरक्षा नीति बनाने के लिए हमेशा एक NIST टेम्पलेट का उपयोग करता था, लेकिन मेरे पास अब कोई प्रति नहीं है और एक त्वरित Google अब मूल नहीं ढूँढ सकता (मुझे लगता है कि NIST अब शुल्क लेता है)। कैलिफ़ोर्निया की सरकार के पास कुछ अच्छे संसाधन हैं, जिनमें टेम्प्लेट शामिल हैं, oispp.ca.gov/government/Library/samples.asp पर, SANS संस्थान का उपरोक्त सुझाव भी एक महान संसाधन है।
hromanko
4

कई अलग-अलग कारण हैं जो एक कंपनी आपकी सुरक्षा नीति को देखना चाहेगी। एक उदाहरण यह है कि भुगतान कार्ड उद्योग (वीज़ा, मास्टर कार्ड, एमएक्स, आदि ...) के लिए उन कंपनियों की आवश्यकता होती है जो क्रेडिट कार्ड की प्रक्रिया के लिए भुगतान कार्ड उद्योग - डेटा सुरक्षा मानक (पीसीआई-डीएसएस) का पालन करती हैं। PCI-DSS के एक सेक्शन के लिए आवश्यक है कि कंपनी के साझेदारों को PCI-DSS (निश्चित रूप से लिखित नीतियों की आवश्यकता होती है) का पालन करना होगा।

सच कहूँ तो अगर मैं आपको वीपीएन या प्रत्यक्ष कनेक्शन के माध्यम से आपके नेटवर्क तक पहुंच प्रदान कर रहा हूं, तो मैं जानना चाहता हूं कि आपके पास एक निश्चित स्तर की सुरक्षा है, अन्यथा मैं खुद को सभी प्रकार के संभावित मुद्दों के लिए खोल रहा हूं।

इसलिए पीसीआई या आईएसओ 27001 प्रमाणित होना इस संबंध में एक वरदान हो सकता है क्योंकि आप बाहरी संगठन को यह बता सकते हैं कि आपके पास एक निश्चित स्तर तक की चीजें हैं। यदि आपकी नीतियां बहुत सामान्य हैं, जो नीतियां होनी चाहिए, तो यह आपके साथी को एक प्रति प्रदान करने का मुद्दा नहीं हो सकता है। हालांकि अगर वे विशिष्ट प्रक्रिया या सुरक्षा जानकारी देखना चाहते हैं तो मैं अपनी साइट को छोड़ने नहीं दूंगा।

कारा के पास कुछ उत्कृष्ट मार्गदर्शन हैं जो आप अपनी नीतियों में शामिल करना चाहते हैं। यहां एक नीति का उदाहरण दिया गया है।

IT-001 सिस्टम बैकअप / रिकवरी नीति

I. परिचय यह खंड इस बारे में बात करता है कि बैकअप कैसे महत्वपूर्ण हैं, आप कैसे प्रतियां का परीक्षण करने और रखने की योजना बनाते हैं।

द्वितीय। उद्देश्य ए। यह नीति आवृत्ति, भंडारण, और रिकवरी बी को कवर करेगी। इस नीति में डेटा, ऑपरेटिंग सिस्टम और ऐप सॉफ्टवेयर शामिल हैं। सभी बैकअप / रिकवरी प्रक्रियाओं को एक सुरक्षित स्थान पर प्रलेखित और रखा जाना चाहिए।

तृतीय। स्कोप यह खंड नोट करता है कि आपकी कंपनी में सर्वर और डेटा संपत्ति (और किसी भी अन्य विशिष्ट क्षेत्र जैसे उपग्रह कार्यालय) में नीति सभी को शामिल करती है।

चतुर्थ। भूमिकाएँ और ज़िम्मेदारियाँ ए। प्रबंधक - यह तय करता है कि क्या बैकअप मिलता है, आवृत्ति, माध्यम और प्रक्रियाओं को निर्धारित करता है, यह भी जाँचता है कि बैकअप बी होता है। सिस्टम एडमिन - बैकअप चलाता है, बैकअप की जाँच करता है, बैकअप का परीक्षण करता है, बैकअप ट्रांसपोर्ट करता है, परीक्षण की जाँच करता है, रखरखाव करता है। बैकअप रोटेशन दादाजी / पिता / पुत्र सी। उपयोगकर्ता - क्या बैकअप मिलता है पर इनपुट है, स्थान पर डेटा को बैकअप के लिए निर्दिष्ट होना चाहिए

वी। नीति विवरण बैकअप - सामान्य ज्ञान रिकवरी में बैकअप के बारे में आप जो कुछ भी कहना चाहते हैं, वह सभी सामान - आप सामान्य ज्ञान की वसूली के बारे में कहना चाहते हैं।

विशिष्ट निर्देशों / कार्य अनुदेश दस्तावेज़ में चरण निर्देश द्वारा विशिष्ट चरण होना चाहिए। हालाँकि यदि आपके पास बहुत छोटा संगठन है, तो आप नीतियों को प्रक्रियाओं से अलग नहीं कर सकते हैं।

मुझे उम्मीद है कि यह मदद करता है और आपको कुछ उपयोगी जानकारी देता है।

डेविड यू
स्रोत
+1 क्योंकि मैं इस तथ्य पर शर्त लगाने को तैयार हूं कि यह एक अनुबंध है जिसमें पीसीआई शामिल हो सकता है। (क्रेडिट कार्ड पीसीआई, पुराने बस कनेक्टर नहीं)। यदि यह मामला है, तो वे एक पूर्ण कल्पना नहीं चाहते हैं, बस वे चीजें जो उनके पीसीआई अनुपालन को प्रभावित करती हैं।
मैट
1

मुझे हाल ही में इनमें से एक लिखना था और यह बहुत मुश्किल नहीं था। ग्रांटेड, यहां तक ​​कि सिलाई के बारे में बात महत्वपूर्ण है, हालांकि कुछ विवरण दूसरों की तुलना में वर्णन करने के लिए अधिक काम लेने वाले हैं। NIST विभिन्न उद्देश्यों के लिए सुरक्षा उपायों का वर्णन करने वाले मुफ्त, ऑनलाइन प्रकाशनों की एक बड़ी लाइब्रेरी है, आप इनका उपयोग उन विचारों के लिए कर सकते हैं जहाँ आपको यकीन नहीं है कि किस प्रकार / सुरक्षा की सीमा को कहा जाता है।

हालांकि उच्च स्तर की शर्तों को कवर करने के लिए कुछ सामान्य श्रेणियां यहां दी गई हैं:

  • डेटा अवधारण नीति
  • बैकअप प्रक्रिया / बैकअप के लिए प्रवेश
  • इन-हाउस एक्सेस प्रतिबंध (शारीरिक और आभासी)
    • नेटवर्क (वायरलेस, वायर्ड)
    • हार्डवेयर (सर्वर, वर्कस्टेशन, कार्यालय परिसर, ऑफ-साइट / टेलीवर्क)
    • होस्टिंग / डाटा सेंटर (महत्वपूर्ण यदि आप पार्टनर्स डेटा स्टोर कर रहे हैं)
    • ऑपरेटिंग सिस्टम
  • कार्मिक स्क्रीनिंग

इस सूची का विस्तार किया जा सकता है या कम किया जा सकता है। इसके अलावा, झल्लाहट की कोई ज़रूरत नहीं है अगर आपके पास अभी तक यह सब नहीं है। मेरी सलाह है कि अपनी 'इच्छित' नीतियों का वर्णन करने के लिए चिपके रहें, लेकिन किसी भी चीज़ की कमी के लिए उन्हें तुरंत विस्तारित करने के लिए तैयार रहें। इस बात के लिए भी तैयार रहें कि आप क्या दावा कर रहे हैं, कोई फर्क नहीं पड़ता कि यह कैसे असंभव है (वकीलों को बाद में परवाह नहीं होगी)।

दाना द साने
स्रोत
1

मैं आपकी कंपनी के कानूनी परामर्शदाता के साथ इस पर विशेष रूप से शुरू करने के लिए मिलूंगा क्योंकि यह एक अनुबंध का हिस्सा है।

यूसुफ
स्रोत
1

आवश्यकता को संबोधित करने के लिए आपको अपनी सुरक्षा नीति की एक प्रति भेजनी होगी जो कि डॉक्टर सुरक्षा के विरुद्ध होगी। मैंने हमारी सुरक्षा नीति लिखी है और डॉक्स के बहुमत को सैन के टेम्प्लेट से खींच लिया है। वे अन्य जिन्हें आप Google पर विशिष्ट नीति खोजों से भर सकते हैं। जिस तरह से हम एक बाहरी पार्टी को देखना चाहते हैं, वह नीति को हमारे ऑपरेशन ऑफ़िस के निदेशक कार्यालय में बैठकर उन्हें पढ़ने की अनुमति देता है। हमारी नीति यह है कि नीति कभी भी भवन नहीं छोड़ती है और विशेष रूप से हमारी दृष्टि। हमारे पास ऐसे समझौते हैं जो किसी भी तीसरे पक्ष को विशिष्ट क्षमताओं में काम करने के लिए सहमत होना पड़ता है, जिसे हमारी जानकारी तक पहुंच की आवश्यकता होती है। और वे केस के आधार पर केस कर रहे हैं। यह नीति आपके वातावरण में फिट नहीं हो सकती है और न ही सभी नीतियाँ जो SAN पर हैं

TechGuyTJ
स्रोत
खुशी है कि मैं इस अनुभव के साथ अकेला नहीं हूं।
मैथ्यूज
यह दिलचस्प रहा है, लेकिन एक शानदार अनुभव है। मेरे उपयोगकर्ता शायद मुझे बहुत पसंद नहीं करते लेकिन यदि आप इसे सांख्यिकीय दृष्टिकोण से देखते हैं। मैंने eweek या सूचना-पत्र में पढ़ा है कि कहीं न कहीं सभी कंपनियों के 70% के आसपास जो सिक्योरिटी ब्रीच का अनुभव करती हैं, वे उबरने में असफल हो जाती हैं और ब्रीच को खोजने के 2 साल के भीतर उनके दरवाजे बंद हो जाते हैं।
TechGuyTJ
1

क्या यह मानक अभ्यास है: मेरा अनुभव कुछ उद्योगों के लिए हाँ है जो विनियमित हैं, जैसे कि बैंकिंग, भोजन, ऊर्जा, आदि।

क्या कोई मानक प्रारूप है: कई मानक हैं, लेकिन यदि आपका अनुबंध एक मानक (आईएसओ, उदाहरण के लिए) निर्दिष्ट नहीं करता है, तो आप जो भी प्रारूप चुनते हैं, उसे प्रदान करने के लिए आपको संविदात्मक रूप से ठीक होना चाहिए।

यह मुश्किल नहीं होना चाहिए। आपके पास पहले से ही एक पैचिंग और पासवर्ड मानक है, इसलिए दस्तावेज़ को यह निर्दिष्ट करना चाहिए कि वह मानक क्या है और यह कैसे सुनिश्चित करें कि इसका पालन किया जाता है। यह बहुत सुंदर बनाने के लिए बहुत अधिक समय खर्च करने के जाल में न पड़ें। बस एक साधारण दस्तावेज़ पर्याप्त होगा।

यदि आपका अनुबंध एक विशिष्ट मानक का उपयोग करता है, तो आपको यह सुनिश्चित करने के लिए पेशेवर सहायता लेनी चाहिए कि आप अनुबंधित हैं।

शॉन एंडरसन
स्रोत
1

हमें यह प्रश्न बहुत मिलता है क्योंकि हम एक होस्टिंग सुविधा हैं। लब्बोलुआब यह है कि हम यह नहीं देते जब तक कि हम जानते हैं कि वास्तव में क्या वे पहले से के लिए देख रहे हैं। यदि वे हमारी सुरक्षा नीति में कुछ ऐसा ढूंढ रहे हैं जो हमारे पास नहीं है, तो यह आमतौर पर है क्योंकि हमारे व्यवसाय की प्रकृति को इसकी आवश्यकता नहीं है, और हम उन्हें ऐसा बताते हैं। यह व्यक्तिपरक हो सकता है, लेकिन इससे कोई फर्क नहीं पड़ता - हमारे पास इसके कारण किसी भी व्यवसाय को खोने के लिए अभी तक नहीं है। अधिक बार नहीं, वे पूछ रहे हैं क्योंकि उन्हें किसी और को बताना होगा जो उन्होंने किया था। जरूरी नहीं कि 'ना' का जवाब कोई बुरी बात हो या डील ब्रेकर हो।

हम अभी SAS70 II प्रमाणीकरण से गुजरे हैं, इसलिए अब हम सिर्फ लेखा परीक्षक के विचार पत्र देते हैं और अपनी लिखित नीतियों के लिए बोलते हैं।

स्कॉट कांटनर
स्रोत
0

आपको कुछ भी दिखाने से पहले आपको एनडीए की आवश्यकता होगी। फिर मैं उन्हें आने दूंगा और सुरक्षा नीति की समीक्षा करूंगा, लेकिन इसकी प्रति कभी नहीं होगी।

MathewC
स्रोत
मैंने आपको वोट नहीं दिया होगा, लेकिन जब मैं इसे प्रकाशित नहीं करूंगा, तो इसे व्यापार भागीदारों के साथ साझा करना सवाल से बाहर नहीं है। हालांकि यह मेरे द्वारा काम की गई प्रत्येक कंपनी में समान नहीं है, लेकिन किसी अन्य के ऊपर व्यवसाय की जरूरतों के लिए मेरा आईटी विभाग मौजूद है। मैं कल्पना करता हूं कि हमारी आईटी सुरक्षा योजना साझा करना व्यवसाय प्रक्रिया या व्यवसाय योजना साझा करने के लिए एक समान है।
reconbot
मैं SAS70 अनुपालन के माध्यम से चला गया हूं और कई "साझेदार" केवल समीक्षा की अनुमति देंगे। यह प्रिंट में कुछ ऐसा करने के लिए एक दायित्व है जो कहता है कि आप कुछ करते हैं, और फिर आप नहीं करते हैं, या आपने कुछ ऐसा किया जिससे समस्या हुई। मुझे खेद है कि आप सहमत नहीं हैं, लेकिन मैं अनुभव से अपनी राय दे रहा था। मुझे नहीं लगता है कि एक नीच पात्र है।
मैथ्यूज
बस स्पष्ट होने के नाते मैंने आपको वोट नहीं दिया। उसकी कोई जरूरत नहीं थी। आप अनुभव कर रहे हैं कि जिस तरह के बारे में मैंने सुनना पसंद किया है वह बिल्कुल वैसा ही है। धन्यवाद!
पुन:
अगर मेरे पास रेप होता तो मैं आपको वोट देता। उन्हें आपकी IT सुरक्षा नीति / InfoSec नीति देखने के लिए केवल NDA पर हस्ताक्षर करने की आवश्यकता नहीं है। (एक नीति और एक मानक / प्रक्रिया के बीच एक अंतर है) एक orgs को देखने के लिए पर्याप्त वैध कारण हैं InfoSec नीति (Sox अनुपालन, PCI DSS, इत्यादि)। अधिकांश orgs इसे पूरी तरह से सार्वजनिक करते हैं: obfs.illilin.edu /manual/central_p/sec19-5.html
जोश
यह एक एहतियात है। यदि आप इसे अपनी सुरक्षा के लिए नहीं लेना चाहते हैं, तो यह आप पर है। मैंने एक वैध कारण दिया कि आपको ऐसा क्यों नहीं करना चाहिए। और मुझे खेद है कि आपके पास मुझे वोट देने का प्रतिनिधि नहीं है। मुझे अपने वोटों को खराब / खतरनाक उत्तरों के लिए आरक्षित करना पसंद है, न कि ऐसी नीति जिससे मैं सहमत नहीं हूं।
मैथ्यूज
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.