パートナーが私たちの書面によるITセキュリティポリシーのコピーを望んでいますが、どうしたらよいかわかりません

Question

私の会社は別の会社と協力しており、契約の一環として、彼らは私の会社の書面によるITセキュリティポリシーのコピーを要求しています。私は書面によるITセキュリティポリシーを持っておらず、彼らに何を提供したいか正確にはわかりません。私たちはマイクロソフトショップです。サーバー、ファイアウォール、SSL証明書を管理するための更新スケジュール、アクセス制限付きアカウントがあり、Microsoft Baseline SecurityAnalyzerを随時実行しています。

サービスとユーザーアカウントは、ほとんど安全で安全だと思われるように構成します（実行するソフトウェアを完全に制御できない場合は困難です）が、詳細を詳しく説明することはできません。サービスとサーバーはそれぞれ異なります。彼らが何を望んでいるのかについてもっと情報を得ていますが、彼らは釣りの遠征に出ているように感じます。

私の質問は、これはこの情報を求めるための標準的な方法ですか？（私は正直に反対していませんが、これまでに起こったことはありません。）そして、これが標準である場合、私が提示すべき標準のフォーマットと期待される詳細レベルはありますか？

Kara Marfia · Accepted Answer

彼らはあなたの内部ITポリシー全体のコピーを必要としないが、私は彼らがこれに似た何かの後であるかもしれないと思う-誰かがあなたが提供する必要がある詳細の量と内容を決定するために契約についての十分な情報をあなたに確実に得る必要がある。 Tho私はJosephに同意します-法的/コンプライアンス上の理由で情報が必要な場合は、法的入力が必要です。

背景情報

1）米国外にいる従業員はいますか？

2）あなたの会社は情報セキュリティポリシーを正式に文書化していますか？

3）情報とデータの取り扱いと分類は、情報セキュリティポリシーの対象ですか？

4）事業を行っている州で現在取り組んでいる未解決の規制問題はありますか？はいの場合、説明してください。

一般的なセキュリティ

1）従業員や請負業者向けの情報セキュリティ意識向上トレーニングプログラムはありますか？

2）システムおよびアプリケーションへのアクセスを認証および承認するために現在使用している方法は次のうちどれですか。

オペレーティングシステムによって実行されます
市販品による実施
シングル・サインオン
クライアント側のデジタル証明書
その他の2要素認証
自家製
認証メカニズムがありません

3）従業員、請負業者、派遣社員、ベンダー、およびビジネスパートナーのアクセスを許可するのは誰ですか？

4）従業員（請負業者、派遣社員、ベンダーなどを含む）がネットワークにリモートアクセスできるようにしていますか？

5）情報セキュリティインシデント対応計画はありますか？いいえの場合、情報セキュリティインシデントはどのように処理されますか？

6）社外への電子メールメッセージの内部情報または機密情報の取り扱いに対処するポリシーはありますか？

7）少なくとも年に一度、情報セキュリティポリシーと基準を確認していますか？

8）会社の安全な領域への不正アクセスを防ぐためにどのような方法と物理的管理が実施されていますか？

施錠された部屋のネットワークサーバー
セキュリティID（アクセスカード、生体認証など）によって制限されるサーバーへの物理アクセス
ビデオ監視
サインインログと手順
安全な場所に常に表示されるセキュリティバッジまたはIDカード
警備員
None
その他、詳細をお知らせください

9）すべての環境のパスワードポリシーを説明してください。つまり、長さ、強度、経年変化

10）ディザスタリカバリ（DR）計画はありますか？はいの場合、どのくらいの頻度でテストしますか？

11）事業継続（BC）計画はありますか？はいの場合、どのくらいの頻度でテストしますか？

12）要求があれば、テスト結果（BCおよびDR）のコピーを提供していただけますか？

アーキテクチャとシステムのレビュー

1）[会社]のデータおよび/またはアプリケーションは、専用サーバーまたは共有サーバーに保存および/または処理されますか？

2）共有サーバー上にある場合、[会社]のデータは他の会社のデータからどのようにセグメント化されますか？

3）どのような種類の会社間接続が提供されますか？

インターネット
専用線/専用線（例：T1）
Dial-up
VPN（仮想プライベートネットワーク）
ターミナルサービス
None
その他、詳細をお知らせください

4）このネットワーク接続は暗号化されますか？はいの場合、どの暗号化方法が使用されますか？

5）ソリューションを利用するために必要なクライアント側コード（ActiveXまたはJavaコードを含む）はありますか？ある場合は、説明してください。

6）Webサーバーへの外部ネットワークアクセスを制御するファイアウォールがありますか。いいえの場合、このサーバーはどこにありますか？

7）ネットワークにアプリケーションへのインターネットアクセス用のDMZが含まれていますか？含まれていない場合、これらのアプリケーションはどこにありますか？

8）組織は、サービス拒否の停止を防ぐための措置を講じていますか？これらの手順を説明してください

9）次の情報セキュリティレビュー/テストのいずれかを実行しますか

内部システム/ネットワークスキャン
内部管理された自己評価および/またはデューデリジェンスレビュー
内部コードレビュー/ピアレビュー
外部のサードパーティ侵入テスト/調査
その他、詳細を教えてくださいこれらのテストはどのくらいの頻度で実行されますか？

10）組織内で積極的に使用されている情報セキュリティ慣行は次のうちどれですか

アクセス制御リスト
デジタル証明書-サーバー側
デジタル証明書-クライアント側
デジタル署名
ネットワークベースの侵入検知/防止
ホストベースの侵入検知/防止
侵入検知/防止署名ファイルのスケジュールされた更新
侵入監視24時間年中無休
継続的なウイルススキャン
ウイルス署名ファイルのスケジュールされた更新
浸透研究および/またはテスト
None

11）オペレーティングシステムを強化または保護するための基準はありますか？

12）オペレーティングシステムにアップデートとホットフィックスを適用するスケジュールはありますか？いいえの場合、パッチと重要な更新をいつ、何を適用するかを決定する方法を教えてください

13）電源障害またはネットワーク障害からの保護を提供するために、主要なトランザクションシステムに対して完全に冗長なシステムを維持していますか？

Webサーバー（該当する場合）

1）アプリケーション/データへのアクセスに使用されるURLは何ですか？

2）Webサーバーはどのオペレーティングシステムですか？（OS名、バージョン、サービスパックまたはパッチレベルを入力してください。）

3）Webサーバーソフトウェアとは何ですか？

アプリケーションサーバー（該当する場合）

1）アプリケーションサーバーはどのオペレーティングシステムですか？（OS名、バージョン、サービスパックまたはパッチレベルを入力してください。）

2）アプリケーションサーバーソフトウェアとは何ですか？

3）役割ベースのアクセス制御を使用していますか？はいの場合、アクセスレベルはどのように役割に割り当てられますか？

4）適切な承認と職務の分離が実施されていることをどのように確認しますか？

5）アプリケーションはマルチレベルのユーザーアクセス/セキュリティを採用していますか？はいの場合、詳細を入力してください。

6）アプリケーションのアクティビティは、サードパーティのシステムまたはサービスによって監視されていますか？はいの場合は、会社名とサービス名、および監視されている情報をお知らせください

データベースサーバー（該当する場合）

1）データベースサーバーはどのオペレーティングシステムですか？（OS名、バージョン、サービスパックまたはパッチレベルを入力してください。）

2）どのデータベースサーバーソフトウェアが利用されていますか？

3）DBは複製されていますか？

4）DBサーバーはクラスターの一部ですか？

5）[会社]のデータを他の会社から分離するために（もしあれば）何が行われますか？

6）[会社]のデータは、ディスクに保存されると暗号化されますか？はいの場合、暗号化方法を説明してください

7）ソースデータはどのようにキャプチャされますか？

8）データ整合性エラーはどのように処理されますか？

監査とロギング

1）顧客のアクセスを次の場所に記録しますか？

Webサーバー？
アプリケーションサーバー？
データベースサーバー？

2）ログは確認されていますか？はいの場合、プロセスとそのレビューの頻度を説明してください。

3）監査ログとトランザクションログを維持および監視するためのシステムとリソースを提供していますか？はいの場合、どのログを保持し、どのくらいの期間保存しますか？

4）[会社]が当社に関連するシステムログを確認することを許可しますか？

プライバシー

1）[会社]のデータが不要になったときに分類解除/削除/破棄するために使用されるプロセスと手順は何ですか？

2）誤ってまたは誤って顧客情報を開示したことはありますか？
はいの場合、それ以降、どのような是正措置を実施しましたか？

3）請負業者（非従業員）は機密情報または機密情報にアクセスできますか？はいの場合、彼らは秘密保持契約に署名しましたか？

4）ネットワーク、システム、またはアプリケーションへのアクセスと保守を許可されているベンダーはありますか？はいの場合、これらのベンダーは、機密保持、身元調査、および損失に対する保険/補償を提供する書面による契約に基づいていますか？

5）データはどのように分類および保護されていますか？

オペレーション

1）バックアップの頻度とレベルはどのくらいですか？

2）バックアップのオンサイト保存期間はどのくらいですか？

3）バックアップはどの形式で保存されますか？

4）バックアップをオフサイトの場所に保存していますか？はいの場合、保持期間はどのくらいですか？

5）データバックアップを暗号化しますか？

6）有効な本番プログラムのみが実行されるようにするにはどうすればよいですか？

Evan Anderson · Answer

私は、規制された業界（銀行）や政府と協力しているときにのみ、この情報を求められました。

私は「標準フォーマット」自体を認識していませんが、それを作成する必要があるときに、顧客が監査人から「出発点」として与えられたテンプレートを常に与えられてきました。

私はおそらくいくつかのグーグル検索から始めて、サンプルのポリシー文書の方法で私が見つけることができるものを見るでしょう。 SANS（ http://www.sans.org ）も探し始めるのに良い場所です。

詳細のレベルに関しては、おそらく聴衆と目的に合わせて調整する必要があると思います。特に低レベルの詳細を提供するように求められない限り、詳細は高レベルに保ちます。

David Yu · Answer

企業がセキュリティポリシーを見たいと思う理由はいくつかあります。一例として、ペイメントカード業界（Visa、MasterCard、AmExなど）では、クレジットカードを処理する企業がペイメントカード業界-データセキュリティ基準（PCI-DSS）に準拠する必要があります。 PCI-DSSのセクションでは、会社のパートナーもPCI-DSSに準拠する必要があります（もちろん、書面によるポリシーが必要です）。

率直に言って、VPNまたは直接接続を介してネットワークへのアクセスを許可している場合は、ある程度のセキュリティがあることを知りたいと思います。そうでない場合は、あらゆる種類の潜在的な問題に直面します。

そのため、PCIまたはISO 27001の認定を受けることは、特定のレベルまで処理されていることを外部組織に知らせることができるため、この点でメリットがあります。ポリシーが非常に一般的である場合、どのポリシーを使用するかは、パートナーにコピーを提供することは問題ではない可能性があります。しかし、彼らが特定の手順やセキュリティ情報を見たいのなら、私はそれを私のサイトから離れさせません。

Karaには、ポリシーでカバーしたい内容に関する優れたガイダンスがいくつかあります。ポリシーの例を次に示します。

IT-001システムのバックアップ/リカバリポリシー

I。はじめにこのセクションでは、バックアップの重要性、コピーをオフサイトでテストおよび保持する方法について説明します。

II。目的A。このポリシーは頻度、ストレージ、およびリカバリを対象としますB.このポリシーはデータ、オペレーティングシステム、およびアプリソフトウェアを対象としますC.すべてのバックアップ/リカバリ手順を文書化し、安全に保管する必要があります場所

III。スコープこのセクションでは、ポリシーが会社内のすべてのサーバーとデータ資産（および衛星オフィスなどの他の特定の領域）を対象としていることに注意してください。

IV。役割と責任 A.マネージャー-バックアップする対象を決定し、頻度、媒体、および手順を決定し、バックアップが行われることも確認しますB.システム管理者-バックアップを実行し、バックアップを確認し、テストしますバックアップ、バックアップの転送、復元のテスト、バックアップローテーションの維持祖父/父/息子C.ユーザー-バックアップ対象に関する入力があり、バックアップするように指定された場所にデータを配置する必要があります

V。ポリシーの説明バックアップ-一般的な意味でのバックアップについて言いたいすべてのこと回復-一般的な意味での回復について言いたいすべてのこと

特定のステップバイステップの説明は、別の手順/作業指示書に記載する必要があります。ただし、組織が非常に小さい場合は、ポリシーを手順から分離できない可能性があります。

これがお役に立てば幸いです。

Scott Kantner · Answer

私たちはホスティング施設であるため、この質問をよく受けます。要するに、彼らが何を探しているのかを事前に知らない限り、それを提供しないということです正確に。彼らが私たちのセキュリティポリシーで私たちが持っていない何かを探している場合、それは通常、私たちのビジネスの性質がそれを必要としないためであり、私たちは彼らにそう言います。それは主観的かもしれませんが、それは問題ではありません-それのために私たちはまだビジネスを失うことはありません。多くの場合、彼らは他の誰かに彼らがしたことを言わなければならないので尋ねています。「いいえ」の答えは、必ずしも悪いことや取引のブレーカーではありません。

SAS70 IIの認証を取得したばかりなので、監査人の意見書を提出し、それを書面によるポリシーについて説明します。

Dana the Sane · Answer

私は最近これらの1つを書かなければならなかった、そしてそれはそれほど難しくならないことになった。確かに、調整に関するイーブンのポイントは重要です。一部の詳細は、他の詳細よりも説明に多くの作業が必要になるためです。 [〜＃〜] nist [〜＃〜] また、さまざまな目的のセキュリティ対策を説明する無料のオンライン出版物の大規模なライブラリがあります。これらは、タイプがわからないアイデアに使用できます。セキュリティの範囲が求められます。

ただし、高レベルでカバーする一般的なカテゴリは次のとおりです。

データ保持ポリシー
バックアップ手順/バックアップへのアクセス
社内アクセス制限（物理および仮想）
- ネットワーク（無線、有線）
- ハードウェア（サーバー、ワークステーション、オフィス構内、オフサイト/テレワーク）
- ホスティング/データセンター（パートナーデータを保存する場合に重要）
- オペレーティング・システム
人事スクリーニング

このリストは、多くの情報が必要になったことに基づいて拡大または縮小できます。また、これらすべてがまだ整っていない場合でも、心配する必要はありません。私のアドバイスは、あなたの「意図された」ポリシーを説明することに固執することですが、不足しているもののためにすぐにそれらを拡張する準備をしてください。また、これがどんなにありそうもないとしても、あなたが主張していることについて呼ばれる準備をしてください（弁護士は後で気にしません）。

Joseph · Answer

特に契約の一部であるため、これについてはまずあなたの会社の法律顧問に相談します。

TechGuyTJ · Answer

セキュリティポリシードキュメントのコピーを送信する必要があるというニーズに対処するには、セキュリティに少し反対します。私はセキュリティポリシーを作成し、SANのテンプレートからドキュメントの大部分を引き出しました。あなたがグーグルで特定の方針検索で記入することができる他のもの。ポリシーを見たいと思っている外部の関係者を処理する方法は、彼らを私たちのオペレーションディレクターのオフィスに座らせ、彼らにそれを読ませることです。私たちのポリシーは、ポリシーが建物、より具体的には私たちの視界を離れることは決してないということです。当社は、当社の情報へのアクセスを必要とする特定の能力で作業する場合、第三者が同意しなければならない契約を結んでいます。そして、それらはケースバイケースです。このポリシーはお客様の環境に適合しない場合があり、SANのWebサイトにあるすべてのポリシーがお客様またはお客様のビジネスに関係するわけではありませんが、セキュリティポリシーの作成プロセスを開始し、上級管理職によって承認されたら、それを実施することをお勧めします。

Shawn Anderson · Answer

それは標準的な慣行ですか。私の経験は、銀行、食品、エネルギーなど、規制されている特定の業界では当てはまります。

標準形式はありますか：いくつかの標準がありますが、契約で標準（ISOなど）が指定されていない場合は、契約上、選択した形式を提供しても問題ありません。

難しいことではありません。パッチ適用とパスワードの標準がすでにあるので、ドキュメントには、その標準とは何か、およびそれがどのように守られているかを指定する必要があります。それをきれいにするためにあまりにも多くの時間を費やすという罠に陥らないでください。単純なドキュメントで十分です。

契約で特定の標準の使用が指定されている場合は、契約に準拠していることを確認するために専門家の助けを求める必要があります。

MathewC · Answer

何かを表示する前にNDAが必要です。その後、セキュリティポリシーを確認するために来てもらいますが、そのコピーはありません。