セキュリティガイドラインとは何ですか?それは標準、ポリシー、手順とどのように関連していますか?
私は現在、論文の定義セクションに取り組んでいます。したがって、「ガイドライン」という用語と、他の用語(標準、ポリシー、手順)との関係がどのように見えるかを定義する必要があります。
しかし、私が見つけることができるのは、どういうわけか互いに矛盾するいくつかの定義です。例えば
ガイドラインは通常、一般的な概要を提供し、特定のポリシーまたは標準が適用されない状況で使用される場合があります。
ガイドラインは、特定のルートまたは一連のアクションを決定する手順またはポリシーのステートメントです。
セキュリティを標準として説明したり、ベースラインとして設定したりできない場合がありますが、いくつかのガイダンスが必要です。これらは、適切なセキュリティへの参照としてユーザーコミュニティへのガイドラインとして推奨事項が作成される領域です。
ガイドラインは、ポリシーを実現するために行う必要があることについてのより一般的なステートメントです。標準をサポートするか、ポリシーの参照として機能するように設計されています
それでも、ガイドラインはビジネスプロセスの重要な部分です。これらは、標準やポリシーがどのように適用されるのかわからない状況で、従業員が行動する方法を知るのに役立ちます。
一方では、ポリシーや基準が設定されていない場合に行動を起こすと述べられています(1&3&5)。一方、ポリシーと標準のガイドとして使用されます(2&4)。ですから、ガイドラインの主な考えは本当にわかりません。
誰かがガイドラインが実際にどのように使用されるかを明確にできますか?
ドキュメンテーション用語の泥沼へようこそ!
つまり、ドキュメントに名前を付けてラベルを付けるための単一の標準的な方法はありません。確立されたフレームワーク(NIST、ISO 27000など)から定義のセットを選択するか、組織内の用語を定義する(そしてそれに固執する!)
私は多くの組織で働いており、「このセキュリティドキュメントを何と呼びますか?」立ち上がって、みんながため息をついて目を丸めます。実際には、誰もが意見を持っており、組織ごとに意見が異なります。何を呼び出すかについての(一連の)会議は、実際には単純なプロセスである必要があるため、長くなる可能性があります(「「ポリシー」は、このような息苦しくて不親切な言葉のようです!」)。
さらに複雑なのは、さまざまな種類のドキュメントを1つのドキュメントにまとめて、「誰も読まない1ページのドキュメントが何十もない」ようにする必要がある場合です。
一般に、ガイドラインドキュメントは、ポリシーと手順が設定されていないときに使用できる包括的な目標と意図のセットですandポリシー/手順の内容をガイドする可能性があります。技術的なドキュメントというより、文化的なドキュメントです。
その良い例が「ユーザーパスワードガイドライン」ドキュメントです。システムレベルでパスワードを処理する方法のポリシーと手順は個別に設定され、技術的な制御が行われている場合があります。しかし、組織はユーザーによるパスワードの有効なuseを奨励したいと考えています。そのため、システムパスワードポリシーでは、パスワードは8文字(またはそれ以上)以上である必要があると記載されていますが、ユーザー向けのガイドラインは、非常に長いパスワードを使用することを推奨しています。これは強制的に発生させることはできませんが、ポリシー、手順、および技術的な制御がそれら自体でリスクに対処できない場合に、不適切な形式のパスワードのリスクを処理するためのガイドラインがあります。
一部の組織では、パスワードガイダンスとパスワードポリシーを1つのドキュメントにまとめました。パスワードの処理方法に関する理由と組織の期待を説明するためのパートの1つであり、その後のすべての技術的なビットについて説明します。ユーザーがガイダンスに従えば、問題ありません。要件に精通する必要がある場合は、それらの詳細も利用できます。