我的公司正在与另一家公司合作,作为合同的一部分,他们要求提供我公司的书面 IT 安全政策副本。我没有书面的 IT 安全政策,我也不确定要给他们什么。我们是一家 Microsoft 公司。我们有更新计划、用于管理服务器的有限访问帐户、防火墙、ssl 证书,并且我们会不时运行 Microsoft Baseline Security Analyzer。
我们配置服务和用户帐户,因为我们认为这样做是最安全的(当你无法完全控制运行什么软件时,这很困难),但我无法详述每一个细节,因为每个服务和服务器都不同。我得到了更多关于他们想要什么的信息,但我觉得他们好像在钓鱼。
我的问题是,询问这些信息是标准做法吗?(说实话我并不反对,但以前从未发生过。)如果这是标准做法,那么我应该提供的标准格式和详细程度是什么?
答案1
他们不需要您整个内部 IT 政策的副本,但我认为他们可能想要类似的东西 - 肯定有人需要向您提供足够的合同信息,以确定您需要提供多少详细信息以及提供哪些信息。但我同意 Joseph 的观点 - 如果他们出于法律/合规原因需要这些信息,则需要法律意见。
背景信息
1) 你们的员工中有谁位于美国境外吗?
2) 贵公司是否有正式且记录在案的信息安全政策?
3) 您的信息安全政策是否涵盖信息和数据的处理和分类?
4) 您目前在经营所在的州是否有任何未解决的监管问题?如果有,请解释。
一般安全
1)您是否有针对员工和承包商的信息安全意识培训计划?
2) 您当前使用下列哪种方法对您的系统和应用程序进行身份验证和授权访问:
- 由操作系统执行
- 由商业产品执行
- 单点登录
- 客户端数字证书
- 其他双因素身份验证
- 自家种植
- 没有建立身份验证机制
3)谁授权员工、承包商、临时工、供应商和业务伙伴的访问权限?
4) 您是否允许您的员工(包括承包商、临时工、供应商等)远程访问您的网络?
5) 贵公司是否有信息安全事故应急响应计划?若没有,如何处理信息安全事故?
6) 您是否有针对处理发送给公司外部的电子邮件中的内部或机密信息的政策?
7) 您是否至少每年审查一次您的信息安全政策和标准?
8) 采用哪些方法和物理控制来防止未经授权访问贵公司的安全区域?
- 位于上锁房间的网络服务器
- 通过安全识别(访问卡、生物识别等)限制对服务器的物理访问
- 视频监控
- 登录日志和程序
- 安全区域内的安全徽章或身份证始终可见
- 保安人员
- 没有任何
- 其他,请提供更多详细信息
9) 请描述一下所有环境下的密码策略?例如长度、强度和时效性
10) 您有灾难恢复 (DR) 计划吗?如果有,您多久测试一次?
11) 您有业务连续性 (BC) 计划吗?如果有,您多久测试一次?
12) 如果我们要求,您是否会向我们提供您的测试结果(BC 和 DR)的副本?
架构与系统审查
1)[公司]的数据和/或应用程序是否会存储和/或处理在专用服务器还是共享服务器上?
2)如果在共享服务器上,[公司] 的数据如何与其他公司的数据区分开?
3) 将提供哪些类型的公司间连接?
- 互联网
- 专用线路/租用线路(例如 T1)
- 拨号
- VPN(虚拟专用网络)
- 终端服务
- 没有任何
- 其他,请提供更多详细信息
4) 此网络连接是否会加密?如果是,将使用哪种加密方法?
5) 是否需要任何客户端代码(包括 ActiveX 或 Java 代码)才能使用该解决方案? 如果需要,请描述。
6) 您是否有防火墙来控制外部网络对您 Web 服务器的访问。如果没有,该服务器位于何处?
7) 您的网络是否包含用于互联网访问应用程序的 DMZ?如果没有,这些应用程序位于何处?
8) 贵公司是否采取措施防止拒绝服务中断?请描述这些步骤
9)您是否执行以下任何信息安全审查/测试
- 内部系统/网络扫描
- 内部管理的自我评估和/或尽职调查审查
- 内部代码审查/同行评审
- 外部第三方渗透测试/研究
- 其他,请提供详细信息这些测试多久进行一次?
10) 您的组织正在积极采用以下哪些信息安全实践
- 访问控制列表
- 数字证书 - 服务器端
- 数字证书 - 客户端
- 数字签名
- 基于网络的入侵检测/预防
- 基于主机的入侵检测/预防
- 入侵检测/预防签名文件的定期更新
- 全天候入侵监控
- 持续病毒扫描
- 病毒特征文件定期更新
- 渗透研究和/或测试
- 没有任何
11) 您是否有强化或保护操作系统的标准?
12) 您是否制定了对操作系统应用更新和热修复的时间表?如果没有,请告诉我们您如何确定应用哪些补丁和关键更新以及何时应用这些补丁和关键更新
13) 为了防止电源或网络故障,您是否为关键交易系统维护了完全冗余的系统?
Web 服务器(如果适用)
1)用于访问应用程序/数据的 URL 是什么?
2) 网络服务器使用什么操作系统?(请提供操作系统名称、版本和服务包或补丁级别。)
3)什么是网络服务器软件?
应用服务器(如果适用)
1) 应用服务器使用什么操作系统?(请提供操作系统名称、版本和服务包或补丁级别。)
2)应用服务器软件是什么?
3) 您是否使用基于角色的访问控制?如果是,如何将访问级别分配给角色?
4)如何确保适当的授权和职责分工?
5) 您的应用程序是否采用多级用户访问/安全性?如果是,请提供详细信息。
6) 您的应用程序中的活动是否受到第三方系统或服务的监控?如果是,请向我们提供公司和服务名称以及正在监控的信息
数据库服务器(如果适用)
1) 数据库服务器使用什么操作系统?(请提供操作系统名称、版本和服务包或补丁级别。)
2) 正在使用哪些数据库服务器软件?
3)数据库是否已复制?
4)数据库服务器是集群的一部分吗?
5) 采取了什么措施(如果有的话)来将[该公司]的数据与其他公司的数据隔离开来?
6) [公司] 的数据在磁盘上存储时是否会加密?如果是,请描述加密方法
7) 如何捕获源数据?
8)如何处理数据完整性错误?
审计和日志记录
1) 您是否记录客户访问:
- 网络服务器?
- 应用服务器?
- 数据库服务器?
2) 日志是否经过审核?如果是,请解释审核流程以及审核频率?
3) 您是否提供系统和资源来维护和监控审计日志和事务日志?如果是,您保留哪些日志以及将它们存储多长时间?
4) 您是否允许 [公司] 查看与我们公司有关的系统日志?
隐私
1) 当不再需要[公司]的数据时,解密/删除/丢弃的流程和程序是什么?
2) 您是否曾错误或意外地泄露过客户信息?
如果有,您采取了哪些纠正措施?
3) 承包商(非雇员)是否有权访问敏感或机密信息?如果是,他们是否签署了保密协议?
4) 您是否拥有授权访问和维护您的网络、系统或应用程序的供应商?如果有,这些供应商是否签署了书面合同,以提供保密性、背景调查和保险/损失赔偿?
5)您的数据如何分类和保护?
运营
1) 您的备份频率和级别是多少?
2)备份的现场保留期限是多长?
3)您的备份采用什么格式存储?
4) 您是否将备份存储在异地?如果是,保留期限是多久?
5)您对数据备份进行加密吗?
6) 如何确保只执行有效的生产程序?
答案2
只有在与受监管的行业(银行)或政府合作时,我才会被要求提供这些信息。
我本身并不知道“标准格式”,但是当我必须制作这些内容时,我总会得到一些模板,这些模板是由审计员提供给我的客户的,作为“起点”。
我可能会先用 Google 搜索一下,看看能找到什么样子的政策文件。SANS (http://www.sans.org) 也是开始寻找的另一个好地方。
至于细节程度,我认为可能需要根据受众和目的进行量身定制。除非我被特别要求提供低级细节,否则我会保持高级细节。
答案3
公司希望查看您的安全政策的原因有很多。例如,支付卡行业(Visa、MasterCard、AmEx 等)要求处理信用卡的公司必须遵守支付卡行业 - 数据安全标准 (PCI-DSS)。PCI-DSS 的一部分要求公司的合作伙伴也必须遵守 PCI-DSS(这当然需要书面政策)。
坦率地说,如果我允许您通过 VPN 或直接连接访问您的网络,那么我希望知道您是否具有一定级别的安全性,否则我将面临各种潜在问题。
这就是为什么获得 PCI 或 ISO 27001 认证在这方面会成为一大福音,因为您可以让外部组织知道您已经将事情处理到了一定程度。如果您的政策非常笼统,那么向您的合作伙伴提供一份副本可能不成问题。但是,如果他们想查看具体的程序或安全信息,那么我不会让他们离开我的网站。
Kara 就您在保单中应涵盖的内容提供了一些出色的指导。以下是一份保单的示例。
IT-001 系统备份/恢复政策
一、引言 本节讨论备份的重要性,以及如何计划测试和保存异地副本。
二、目的 A. 该政策将涵盖频率、存储和恢复 B. 该政策涵盖数据、操作系统和应用软件 C. 所有备份/恢复程序必须记录在案并保存在安全的地方
三、范围 本节指出该政策涵盖您公司的所有服务器和数据资产(以及任何其他特定区域,如卫星办公室)。
四、角色和职责 A. 经理 - 决定备份的内容,确定频率、介质和程序,还要检查备份是否发生 B. 系统管理员 - 运行备份、检查备份、测试备份、传输备份、测试恢复、维护备份轮换祖父/父亲/儿子 C. 用户 - 对备份的内容有输入,必须将数据放置在指定要备份的位置
五、政策说明 备份 - 您想要从一般意义上谈论的有关备份的所有内容 恢复 - 您想要从一般意义上谈论的有关恢复的所有内容
具体分步说明应包含在单独的程序/工作说明文件中。但是,如果您的组织规模很小,则可能不会将政策与程序分开。
我希望这会有所帮助并为您提供一些有用的信息。
答案4
首先,我会与贵公司的法律顾问讨论此事,特别是因为它是合同的一部分。