一、安全政策框架(Security policy framework)

我们需要明确的书面指导,以帮助与业务领导人和用户以及彼此就安全期望和责任进行沟通。在某些情况下,我们制定了组织中每个人都必须遵守的强制性规则,而在其他情况下,我们只是提供建议。这些角色中的每一个都需要稍微不同的沟通。这就是安全政策框架发挥作用的地方。大多数安全专家认识到一个由四种不同类型的文件组成的框架:政策、标准、指南和程序(Policies, Standards, Guidelines, and Procedures)

  1. 安全政策是为一个组织的信息安全计划提供基础的基石文件。 它们通常是在很长一段时间内制定的,并且是非常仔细地描述一个组织的安全期望。对政策的遵守是强制性的,政策通常由一个组织的最高层批准。由于制定安全政策的严格性,作者应努力将政策写得经得起时间的考验。例如,像所有敏感信息必须用AES-256加密或将所有员工记录存放在226房间这样的声明不合规的政策声明。如果组织更换了加密技术或更改了记录室,就会照成不好的后果。相反,政策可以做出这样的声明:敏感信息必须使用IT部门批准的技术在存储状态和传输过程中进行加密,而员工记录必须存储在人力资源部门批准的地点。

  2. 安全标准规定了组织必须遵循的安全控制的具体细节。 一个组织的安全政策很可能包括赋予IT部门创建和执行标准的权力的具体声明。标准包括诸如公司批准的加密协议、记录存储位置、配置参数以及其他技术和操作细节的地方。即使这些标准可能不会像政策那样经过严格的程序,对它们的遵守仍然是强制性的。当涉及到复杂的配置标准时,企业往往借鉴行业基准,如互联网安全中心提供的安全配置指南。

    这些安全标准为各种各样的操作系统、网络基础设施设备、应用平台、网络服务器和IT基础设施的其他组件提供了详细的配置设置。它们为一个组织自己的安全标准提供了一个很好的起点。一些组织按原样使用这些标准,而另一些组织则在采用这些标准时稍作定制,或者在制定自己的定制安全标准时简单地将其作为参考。

  3. 供应商也为他们自己的产品提供详细的配置指南。网络安全专业人员应与他们组织中使用的供应商协商,以确定有哪些指南可用和合适。指南是安全专业人员向组织的其他部分提供建议的地方,包括信息安全的最佳实践。例如,指南可能建议员工在有无线网络的情况下使用加密的无线网络。在某些情况下,旅行的员工可能无法访问加密的网络,所以他们可以使用VPN连接来弥补这一缺陷。我们需要记住的是,指导方针是建议,并不是强制性的。

  4. 程序是员工在执行特定安全任务时可以遵循的分步指示。例如,组织可能有一个激活事件响应小组的程序,包括向小组成员发送紧急短信提醒,激活视频会议,并通知高级管理层。根据组织和程序的类型,程序步骤可能是强制性的或可选的。

具体来说,请记住,遵守政策和标准总是强制性的;指导总是选择性的;而遵守程序则可以有两种选择,这取决于组织的情况。

二、安全政策(Security policies)

政策是任何信息安全计划的基础,而拥有强有力的数据安全政策是我们保护信息的努力的一个关键组成部分。数据、安全政策和程序在一个组织中扮演着几个重要的角色。无论政策或程序涉及什么具体问题,它都应该满足几个关键标准:

  1. 政策为数据安全工作提供了基础的权威性(Foundational authority),为你的工作增加了合法性,并在需要时确保合规;
  2. 它们还为参与数据安全的每个人提供了明确的期望(Clear expectations),解释了哪些数据必须得到保护以及应该用来保护这些数据的控制措施;
  3. 政策提供了在为业务目的请求访问数据时应遵循的指导(Guidance);
  4. 还提供一个例外程序(Exception process),以便在必要时正式请求政策例外,以满足业务要求。

如下是数据安全政策在遵循刚才描述的原则后应该涵盖的几个关键问题:

1.数据存储安全政策(Data Storage Policy)
数据存储是安全政策的一个关键组成部分。数据存储政策应该向用户解释不同分类级别的数据的适当存储位置。例如,一项政策可能会限制使用云存储解决方案来存储高度敏感的信息。它们还应该包括对存储信息的访问控制要求,包括我们用来获得数据访问的过程,以及用来执行访问控制的机制。政策还有应该为不同分类级别和不同存储环境的信息提供加密要求。例如,一个组织可能允许未加密的信息存储在位于他们自己的数据中心的硬盘上,但可能要求对所有其他存储位置进行加密,如云服务或员工的笔记本电脑。

2.数据传输政策(Data Transmission Policy)
数据传输政策保护传输中的数据。数据在网络上传输时尤其脆弱,因为它很容易受到窃听攻击。因此,数据传输政策应涵盖哪些数据可以在不同类型的网络上传输,以及在何种授权下传输。它们还应该描述使用加密技术来保护在公共和私人网络上传输的信息,以及敏感信息的适当传输位置,例如未经特别许可可能离开公司网络的信息类型。

3.数据生命周期政策(Data Lifecycle Policy)
最后,数据生命周期政策为信息的生命终结过程提供了重要指导。这一点很重要,因为即使在组织不再需要信息之后,信息仍可能保持敏感性。数据生命周期政策应该至少要求解决两个重要问题。

首先,数据保留政策(Data Retention Policies)应该描述一个组织将保留不同的数据元素多长时间。这可能包括一个最短的保留期,如保留所有与税收有关的记录7年。它还可能包括一个最长保留期,例如,客户的信用卡信息只应保留完成交易所需的时间。数据保留政策通过确保数据被保留到需要的时间,而不是更长的时间来限制一个组织的风险暴露。这些政策影响硬件和人员,并应同样适用于电子和纸质记录。

数据丢弃政策(Data Disposal Policies)还应该包括对数据的正确处置,包括在扔掉、回收或以其他方式丢弃之前,用于安全地擦除硬盘、闪存驱动器和其他存储介质的擦除技术。 由于数据残留问题,这一点极为重要。简单地删除文件或格式化硬盘,并不足以从设备中删除所有的数据痕迹。安全管理员应该使用专门的工具来安全地擦除存储设备,并防止将来检索被认为是被删除的信息。

4.与云相关的政策
在云计算的世界里,安全政策具有特殊的重要性。政策、指南和标准应向用户提供明确的指导,说明哪些信息可以在云中存储和处理。这些政策还应该清楚地描述组织在选择审查和批准新的云服务使用时将遵循的程序。

整理资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601

Security+ 学习笔记54 安全政策相关推荐

  1. [原创]java WEB学习笔记54:Struts2学习之路--- 编写Struts2 的第一个程序,HelloWord,简述 package ,action,result...

    本博客的目的:①总结自己的学习过程,相当于学习笔记 ②将自己的经验分享给大家,相互学习,互相交流,不可商用 内容难免出现问题,欢迎指正,交流,探讨,可以留言,也可以通过以下方式联系. 本人互联网技术爱 ...

  2. spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录

    目录 5.2 自定义 Provider 身份认证 5.2.1 编码思路和疑问 5.2.2 创建用户信息配置类 PhonePasswordAuthenticationToken 5.2.2 修改自定义的 ...

  3. 学习笔记(54):Python实战编程-Scale

    立即学习:https://edu.csdn.net/course/play/19711/343117?utm_source=blogtoedu 1.滑块组件Scale: 用于定义一定范围的区间,如音量 ...

  4. Security+ 学习笔记44 网络攻击

    一.拒绝服务攻击(Denial of service attacks) CIA三要素描述了信息安全的三个目标,即保密性.完整性和可用性.攻击者使用的大多数攻击技术都集中在破坏数据的保密性或完整性上. ...

  5. SpringBoot + Spring Security 学习笔记(一)自定义基本使用及个性化登录配置

    官方文档参考,5.1.2 中文参考文档,4.1 中文参考文档,4.1 官方文档中文翻译与源码解读 SpringSecurity 核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) ...

  6. 大数据学习笔记54:HBase概述

    文章目录 一.HBase概述 (一)从BigTable说起 (二)HBase简介 1.HBase是什么 2.Hadoop生态系统中HBase与其他部分的关系 3.HBase和BigTable的底层技术 ...

  7. Evasion Techniques and Breaching Defenses by Offensive Security学习笔记

    1.msf和cobalt strike都可以生成stageless或者stage的payload,在原则上来说使用stage的payload的被检测的可能性更小,但是由于各大杀软将stage的特征做的 ...

  8. ROS学习笔记54《Arduino IDE 安装设置》

    1 介绍 Arduino和Arduino IDE是快速轻松编程硬件的绝佳工具.使用rosserial_arduino包,您可以直接在Arduino IDE中使用ROS.rosserial提供了一个适用 ...

  9. 2020李宏毅学习笔记——54.Anomaly Detection(4_7)

    解决一个问题, 什么问题呢? 理想的分类器是这样子的,下面是猫狗分类器: 如果有些动物没有猫的特征也没有狗的特征: 那我们会把这些东西放在边界上,分数会比较低. 但是有些动物有虽然不是猫狗但是有猫狗的 ...

  10. 大数据学习笔记:Hadoop生态系统

    文章目录 一.Hadoop是什么 二.Hadoop生态系统图 三.Hadoop生态圈常用组件 (一)Hadoop (二)HDFS (三)MapReduce (四)Hive (五)Hbase (六)Zo ...

最新文章

  1. 目前154万AI开发者
  2. pytorch保存模型pth_Day159:模型的保存与加载
  3. 2018-2019-2 20165114《网络对抗技术》Exp4 恶意代码分析
  4. 阿里云ecs禁止ping,禁止telnet
  5. CCIE路由实验(4) -- BGP路由控制
  6. Vue:开发者友好性和易用性
  7. linux tomcat/bin/shutdown.sh 关闭不了
  8. 我的第一个python web开发框架(40)——后台日志与异常处理
  9. 7Python全栈之路系列之Django表单
  10. Unity3D 拆包工具 AssetStudio 编译构建
  11. Linux Shell基础 Shell的输入重定向和输出重定向
  12. 常见问题4:文本不能选择 效果
  13. flash 调试版本
  14. python颜色识别_OpenCV(Python)学习之识别图片特定颜色
  15. win10通过OneDrive实现办公室的电脑和家里电脑重要数据同步
  16. 手把手教你做出数据可视化项目(一)页面布局
  17. 文档型数据库MongoDB使用教程
  18. 文本编辑器Notepad++ 官方下载地址
  19. js月份的计算公式_JS获取指定月份的天数几种方法
  20. N1-AI生成挑战赛#你想不到的猫,快来为你喜欢的作品投票吧!

热门文章

  1. 整理一些计算机基础知识!
  2. 每日算法系列【LeetCode 470】用 Rand7() 实现 Rand10()
  3. 《神经网络与深度学习》课程笔记(2)-- 神经网络基础之逻辑回归
  4. 机器学习算法基础4-K-近邻算法、朴素贝叶斯算法、分类模型评估、模型的选择与调优
  5. SQL Azure 服务器端架构
  6. 什么是网站物理结构、逻辑结构
  7. 博文视点Open Party第10期:PPT专场
  8. 6.3 tensorflow2实现FM推荐系统——Python实战
  9. Python中stack(),vstack(),hstack()的用法和区别
  10. 终端terminal个性化配置