我们正在为公司制定安全政策。我正在寻找可以作为我们公司样板的示例。
谢谢
答案1
有很多。如果您还没有找到它们,SANS 研究所有广泛的模板政策选择:
http://www.sans.org/security-resources/policies/#template
它们已经存在很长时间了。这些政策确实值得一读,应该可以让你制定自己的政策。
答案2
这难道不取决于您的公司、规模、配置和业务文化吗?
您已经允许或禁止哪些事情?
您是否锁定了您的系统?允许用户安装东西?您的用户是开发人员还是主要为秘书?您的系统是用作信息亭还是定制的?它们是共享的吗?
你们的用户大多是漫游用户吗?工作站?你们允许访客系统进入你们的网络吗?
你们是否像对待自己的软件一样对待知识产权,所以你们不允许使用 USB 驱动器或可刻录 CD?监控电子通信?
我认为,很多地方都涵盖了基础知识。但我认为,制定通用的样板政策可能不是一个好主意。这个问题没有唯一的答案。您最好以 wiki 问题的形式询问在创建安全策略时应考虑哪些因素,以便根据自己的需求和经验进行自定义。