Isi kandungan:
Video: 2013 State of the Union Address: Speech by President Barack Obama (Enhanced Verison) 2024
Dasar keselamatan, piawaian, prosedur, dan garis panduan adalah berbeza antara satu sama lain, tetapi mereka juga berinteraksi antara satu sama lain dalam pelbagai cara. Penting untuk memahami perbezaan dan hubungan ini, dan juga untuk mengenali pelbagai jenis dasar dan aplikasi mereka.
Untuk berjaya membangun dan melaksanakan dasar, piawaian, garis panduan dan prosedur keselamatan maklumat, anda mesti memastikan bahawa usaha anda selaras dengan misi, matlamat, dan objektif organisasi.
Dasar, piawaian, prosedur, dan garis panduan semuanya berfungsi sebagai pelan bagi program keselamatan maklumat yang berjaya. Mereka
- Menetapkan tadbir urus.
- Sediakan bimbingan dan sokongan keputusan yang berharga.
- Membantu menubuhkan kuasa undang-undang.
Sering kali, penyelesaian keselamatan teknikal dilaksanakan tanpa pelan induk yang penting ini. Hasilnya sering mahal dan tidak berkesan kawalan yang tidak digunakan secara seragam dan tidak menyokong strategi keselamatan keseluruhan.
Tadbir adalah istilah yang secara kolektif mewakili sistem dasar, piawaian, garis panduan dan prosedur yang membantu mengendalikan operasi dan keputusan sehari-hari organisasi.
Polisi
A dasar keselamatan menjadi asas kepada program keselamatan maklumat organisasi. RFC 2196, Buku Panduan Keselamatan Laman, mentakrifkan dasar keselamatan sebagai "pernyataan peraturan rasmi yang membolehkan orang yang diberi akses kepada aset teknologi dan maklumat organisasi mesti mematuhi. "
Empat jenis dasar utama ialah
- Pengurusan Kanan: Pernyataan pengurusan peringkat tinggi tentang objektif keselamatan organisasi, tanggungjawab organisasi dan individu, etika dan kepercayaan, dan keperluan umum dan kawalan.
- Peraturan: Dasar yang sangat terperinci dan ringkas yang biasanya dimandatkan oleh persekutuan, negeri, industri, atau keperluan undang-undang yang lain.
- Penasihat: Tidak wajib, tetapi amat disyorkan, sering dengan penalti atau akibat tertentu untuk kegagalan untuk mematuhi. Kebanyakan dasar jatuh ke dalam kategori ini.
- Informatif: Hanya memberitahu, tanpa syarat yang jelas untuk pematuhan.
Piawaian, prosedur, dan garis panduan menyokong unsur-unsur dasar dan menyediakan butiran pelaksanaan dasar tertentu.
ISO / IEC 27002, Teknologi Maklumat - Teknik Keselamatan - Kod Amalan untuk Pengurusan Keselamatan Maklumat, adalah piawaian antarabangsa untuk dasar keselamatan maklumat.ISO / IEC adalah Organisasi Antarabangsa bagi Standardisasi dan Suruhanjaya Elektroteknik Antarabangsa. ISO / IEC 27002 terdiri daripada 12 bahagian yang sebahagian besarnya (tetapi tidak sepenuhnya) menindih domain keselamatan lapan (ISC) 2.
Piawaian (dan garis dasar)
Piawaian adalah keperluan khusus, mandatori yang lebih mendefinisikan dan menyokong dasar peringkat lebih tinggi. Sebagai contoh, piawaian mungkin memerlukan penggunaan teknologi tertentu, seperti keperluan minimum untuk penyulitan data sensitif menggunakan AES. Standard boleh pergi setakat untuk menentukan jenama, produk, atau protokol yang tepat untuk dilaksanakan.
Basel adalah sama dan berkaitan dengan piawaian. Garis dasar boleh berguna untuk mengenal pasti asas konsisten untuk senibina keselamatan organisasi, dengan mengambil kira parameter khusus sistem, seperti sistem pengendalian yang berbeza. Selepas asas garis konsisten ditubuhkan, standard yang sesuai dapat ditakrifkan di seluruh organisasi.
Sesetengah organisasi memanggil piawaian dokumen konfigurasi mereka (dan masih ada yang lain menyebutnya persekitaran operasi standard) dan bukannya garis dasar. Inilah amalan biasa dan boleh diterima.
Prosedur
Prosedur memberikan arahan terperinci mengenai cara melaksanakan dasar tertentu dan memenuhi kriteria yang ditetapkan dalam piawai. Prosedur boleh merangkumi Prosedur Pengendalian Piawaian (SOP), buku berjalan, dan panduan pengguna. Sebagai contoh, prosedur mungkin menjadi panduan langkah demi langkah untuk menyulitkan fail sensitif dengan menggunakan produk penyulitan perisian tertentu.
Garis Panduan
Garis Panduan adalah sama dengan piawaian tetapi mereka berfungsi sebagai cadangan dan bukannya sebagai keperluan wajib. Sebagai contoh, garis panduan mungkin memberikan tip atau cadangan untuk menentukan kepekaan fail dan sama ada penyulitan diperlukan.
