Contents ...
udn網路城邦
資訊安全:Policies, Standards, Guidelines and Procedures
2009/10/28 21:12
瀏覽1,349
迴響0
推薦0
引用0
Policies, Standards, Guidelines and Procedures
資安政策的推行,應當採取由上而下的方式 (top-down approach),由 senior manager 來定義資安的大方向 (policy),接著再交由 security professional 與各部門的 middle manager 去制訂各項的施行細節 (standards 與 guidelines),最後則交由 IT 達人與各個部門的專業達人去撰寫各式各樣的 procedures (請參考圖 2.3-1)。


Security Policies
security policies 應當包含的內容有:一、該項政策的重要性;二、哪些資產應當受到保護;三、哪些裝置應當受到管制;四、什麼樣的行為規範要被遵守;五、稽核的標準以及可接受的風險;六、懲處的底線與程序;七、解釋攸關的術語。

Security Standards
security standards 是根據 security policy 所揭示的大方向,去擬定強制性的規範,以導引員工的行為、管控軟硬體的規格以及監視軟硬體的安裝與卸載等等。例如,所有的個人電腦之 USB 插槽都必須被拔除、密碼長度必須超過十個字元並含有數字、以及不准攜帶私人筆記型電腦進入公司等之規定,即可視為 security standards。至於被廣為推崇與施行的資安標準,筆者所查到的資訊如下:
  • CoBIT (the Control OBjectives for Information and related Technology)
  • ISO/IEC 27000 Series
  • NIST (National Institute of Standards and Technology)
  • SSE-CMM (Systems Security Engineer Capability Maturity Model)
  • CISSP (Certified Information Systems Security Professional; ten domains)
Security Guidelines
security guidelines 是根據 security standards 所揭示的強制性規範,提出相關的建議 (suggestion)、最佳施行範例 (best practice) 或方法論之說明 (methodologies)。例如,password guideline 可以先為讀者說明駭客破解密碼的手法 ── dictionary、social engineering 等等,接著再說明哪些種類的密碼比較不容易被破解 ── 不要使用個人的資訊、不要使用常見的字或詞等等。

Security Procedures
security procedures 是根據 security guidelines 所提到的 suggestion、best practice 或 methodologies,以詳細的 (detailed) 且按部就班的 (step-by-step) 的方式來呈現一個具體的操作實例。


限會員,要發表迴響,請先登入