実際に使用されているセキュリティポリシーはどこにありますか?
Webには多くのセキュリティポリシーのサンプルとテンプレートがあることは知っています。実際に使用されていて、まだ公開されているセキュリティポリシーがあるかどうか知りたいです。 私は彼らがそこにいることを知っています だから、私はここで、誰もが見ることができるようにこれらのポリシーを公開している企業や組織の知識を他の誰かが持っているかどうかを尋ねています。何かを知っている場合はリンクを提供してください。リンクが公開されている理由がわかっている場合は、問題に対する私の好奇心を完全に満たすことができればさらに良いでしょう。
これはポリシーというよりテンプレートとして見られるかもしれませんが、ここで言及する価値があると思います。
米国国立標準技術研究所には、情報システムのセキュリティに関する多数の特別刊行物(SP)があります。これらは総称して 800シリーズ と呼ばれます。すべて800で始まる数値指定があるためです。これらは一部の政府機関で使用されており、一部の企業もこの概念を採用していると思います。
おそらくこれらのうち最も重要な(そしてこの質問に最も関連する)はNIST SP 800-53、 "Recommended Security Controls for Federal Information Systems and Organizations"です。これを書いている時点(Jan. 2011年29日)、このドキュメントの最新バージョンはRev. 3であり、PDF here:
この文書が何であるか、それをどのように読むか、そしてどのように使用するかを説明する論文全体を書くことができました。ここでは、ITシステムを保護するためのセキュリティ計画を組織が構築できる強力な基盤を提供していると言えば十分だと思います。
多くの企業は、明らかな理由でポリシーの公開に非常に神経質になっています。しかし、これらの理由のメリットは重要ではありません。一方で、教育現場でそのようなポリシーを見つけるのは非常にうまくいきました。
教育機関内の特定の環境のため、標準とポリシーは一般に公開されます。その理由は多く、機関の文化によって異なりますが、多くの場合、コミュニティに「恩返し」という固有の概念に沿ったものです。これに基づいて、標準の Google検索 を使用して、かなりの数のヒットを見つけることができます。
これらは私が長年にわたって彼らのポリシー/標準、または彼らが利用できるようにする情報の種類のために参照のために使用したいくつかです:
反対:
- コスト-一部の組織は、自分たちのポリシーは知的財産であるべきだと感じており、開発にお金がかかるため、他の組織にだけ与えるべきではありません。
- データ漏洩-ポリシーは、攻撃者にとって有用な情報を漏洩しますか?多くの組織には、チェックする余裕のあるリソースがないので、すべての組織を非公開にするという全面的な決定を下し
For:
- 共有環境-一連の適切なポリシーがある場合、顧客、パートナーなどはそれらを使用して独自のセキュリティを向上させ、より安全なビジネス環境につながり、間接的に組織に利益をもたらすことができます
- 評判-ポリシーが非常に良いように見える場合、これは強力なセキュリティの評判と結びつき、特定のクラスの攻撃者がぶら下がっている果物を狙うことを阻止する可能性があります。
例
- 学者のカップル- Bath Uni および City of London
- サードパーティのセキュリティポリシーを使用する良い例- [〜#〜] dwp [〜#〜]
- 大企業- British Energy (非常に簡単なポリシー)