Inhoudsopgave:
Video: LFC#157 - DJI Spark Drone Repair - full strip and rebuild 2024
Beveiligingsbeleid, normen, procedures en richtlijnen zijn allemaal verschillend van elkaar, maar ze hebben ook interactie met elkaar in een verscheidenheid van manieren. Het is belangrijk om deze verschillen en relaties te begrijpen en ook om de verschillende soorten beleid en de bijbehorende toepassingen te herkennen.
Om beleid, normen, richtlijnen en procedures voor informatiebeveiliging met succes te ontwikkelen en implementeren, moet u ervoor zorgen dat uw inspanningen consistent zijn met de missie, doelen en doelstellingen van de organisatie.
Beleidsregels, normen, procedures en richtlijnen werken allemaal samen als blauwdruk voor een succesvol informatiebeveiligingsprogramma. Ze
- Governance vestigen.
- Voorzie waardevolle begeleiding en beslissingsondersteuning.
- Help bij het instellen van wettelijke bevoegdheid.
Te vaak worden technische beveiligingsoplossingen geïmplementeerd zonder deze belangrijke blauwdrukken. De resultaten zijn vaak dure en ineffectieve controles die niet uniform worden toegepast en geen algemene beveiligingsstrategie ondersteunen.
Governance is een term die samen het systeem van beleid, standaarden, richtlijnen en procedures vertegenwoordigt die de dagelijkse bedrijfsvoering en beslissingen van een organisatie helpen sturen.
Beleid
A beveiligingsbeleid vormt de basis van het informatiebeveiligingsprogramma van een organisatie. RFC 2196, Het handboek over sitebeveiliging, definieert een beveiligingsbeleid als "een formele verklaring van regels waaraan mensen moeten voldoen die toegang hebben tot de technologie- en informatiemiddelen van een organisatie. “
De vier hoofdtypen van het beleid zijn
- Senior Management: Een managementverklaring op hoog niveau van de beveiligingsdoelstellingen van een organisatie, organisatorische en individuele verantwoordelijkheden, ethiek en overtuigingen, en algemene vereisten en controles.
- Regelgeving: Zeer gedetailleerd en beknopt beleid dat meestal wordt opgelegd door de federale overheid, de overheid, de industrie of andere wettelijke vereisten.
- Advies: Niet verplicht, maar ten zeerste aanbevolen, vaak met specifieke straffen of gevolgen voor het niet naleven. De meeste polissen vallen in deze categorie.
- Informatief: informeert alleen, zonder expliciete vereisten voor naleving.
Standaarden, procedures en richtlijnen zijn ondersteunende elementen van een beleid en bieden specifieke implementatiegegevens van het beleid.
ISO / IEC 27002, informatietechnologie - beveiligingstechnieken - praktijkcode voor informatiebeveiligingsbeheer, is een internationale standaard voor informatiebeveiligingsbeleid.ISO / IEC is de Internationale Organisatie voor Standaardisatie en Internationale Elektrotechnische Commissie. ISO / IEC 27002 bestaat uit 12 secties die grotendeels (maar niet volledig) de acht (ISC) 2-beveiligingsdomeinen overlappen.
Standaarden (en basislijnen)
Standaarden zijn specifieke, verplichte vereisten die verder beleid definiëren en ondersteunen. Een norm kan bijvoorbeeld het gebruik van een specifieke technologie vereisen, zoals een minimumvereiste voor codering van gevoelige gegevens met behulp van AES. Een norm kan zelfs zo ver gaan dat exact wordt aangegeven welk merk, product of protocol moet worden geïmplementeerd.
Baselines zijn vergelijkbaar met en gerelateerd aan standaarden. Een basislijn kan nuttig zijn voor het identificeren van een consistente basis voor de beveiligingsarchitectuur van een organisatie, rekening houdend met systeemspecifieke parameters, zoals verschillende besturingssystemen. Nadat consistente basislijnen zijn vastgesteld, kunnen passende normen in de hele organisatie worden gedefinieerd.
Sommige organisaties noemen hun configuratiedocumenten standaarden (en nog anderen noemen ze standaard besturingsomgevingen) in plaats van basislijnen. Dit is een gebruikelijke en acceptabele praktijk.
Procedures
Procedures bieden gedetailleerde instructies voor het implementeren van specifiek beleid en voldoen aan de criteria die zijn gedefinieerd in standaarden. De procedures kunnen standaardwerkprocedures (SOP's), uitvoeringsboeken en gebruikershandleidingen omvatten. Een procedure kan bijvoorbeeld een stapsgewijze handleiding zijn voor het coderen van gevoelige bestanden met behulp van een specifiek softwareversleutelingsproduct.
Richtlijnen
Richtlijnen zijn vergelijkbaar met normen, maar ze fungeren eerder als aanbevelingen dan als verplichte vereisten. Een richtlijn kan bijvoorbeeld tips of aanbevelingen geven voor het bepalen van de gevoeligheid van een bestand en of codering vereist is.