インシデントレポートまたは通知ポリシードメイン?
私は、ベンダー、顧客、および組織内の人々からの情報セキュリティ関連のイベントおよび通知のレポートを従業員がどのように処理するかについての会社のポリシーを作成しています。
例えば.
- お客様から電話があり、データが危険にさらされていると言われた場合、私たちは責任を負います
- 誰かが私たちのドメインから迷惑または疑わしい電子メールを受信します。
- ワークステーションの奇妙なポップアップボックス
- 等.
注:インシデント対応ポリシーまたは情報セキュリティポリシーはまだありません。
私の質問は、このタイプのドキュメントがそれ自体でポリシーであるのか、それともより大きな情報セキュリティポリシーまたはインシデント対応ポリシーの一部であるのかということです。私は現在、それを「情報セキュリティ報告ポリシー」と呼んでいます。これは、情報セキュリティポリシーまたはインシデント対応ポリシーに該当しますか、それともどちらの方向にも進む可能性がありますか、それとも、書面、明確、理解、および従う限り重要ではありません。
私は、新入社員のトレーニングやH.R.によってユーザーに渡される、シンプルな1ページのドキュメントが必要でした。
基本的にそれは述べています...
- 問題のドキュメントタイプと説明
- 誰が報告しましたか?連絡先情報(名前、電話番号、電子メール)を要求し、セキュリティ担当者または管理者からの連絡に同意します
- 発生日時を文書化する
- 状況に該当する場合は、OS、ブラウザ、A/V、ファイアウォールの使用、ワイヤレスネットワークの使用などを求めてください。
- 誰にどのように報告するか(エスカレーション)
他に言及、削除、または変更する必要がありますか?これは合理的に聞こえますか、あなたはどう思いますか?
ありがとうジョン
ポリシー(「DoX」)ではなく、手順(つまり、「How do do X」)を記述しています。そのため、プロシージャの名前は実際には重要ではありません。重要なのは、それが1つ以上の上位レベルのポリシーを参照し、サポートされていることです。
情報セキュリティポリシーは、あなたが説明したものよりもはるかに多くをカバーする必要があります。手順に「情報セキュリティポリシー」というタイトルを付けるのは非常に躊躇します。これは、キーボードに「マイコンピュータ」というラベルを付けるようなものです。この例は意図的に誇張されていますが、会社が監査され、監査人が1ページのポケットベルを「情報セキュリティポリシー」というラベルの付いた唯一のドキュメントとして見つけた場合、そのポリシーでカバーされていないすべてのアクションを暗黙的に承認したことになります。 (あなたの会社が監査の対象であるかどうかはわかりません。あなたはそれが可能性があると私に信じさせるpciタグを含めました)。
通常、情報セキュリティポリシーにはインシデント対応ポリシーが含まれます。ポリシーを実装するための手順が書かれています。
これをインシデント対応ポリシーと呼ぶことで、より重要視されます。内部で使用する予定がある場合は、可能な限り、バックグラウンドデータ収集のプロセス(日付/時刻、OSなど)を自動化します。
私があなたを正しく理解していれば、この文書はクライアントと職場の両方の事件を扱っています。 2つを別々にすべきではありませんか?次に、1つはポリシーであり、もう1つはポリシーの一部である可能性があります。
どちらのタイトルも良いです。情報セキュリティポリシーは内部ドキュメントに適していますが、インシデント対応はクライアント指向のポリシーに適しています。しかし、それが適切にフォローされ理解されている(そして定期的にそれを思い出している)限り、それは少し重要ではありません。