Best-Practices

合作夥伴想要一份我們書面 IT 安全政策的副本,但我不知道該怎麼做

  • February 26, 2015

我的公司正在與另一家公司合作,作為契約的一部分,他們要求提供我公司書面 IT 安全政策的副本。我沒有書面的 IT 安全政策,也不確定我想給他們什麼。我們是微軟商店。我們有更新計劃、有限訪問帳戶來管理伺服器、防火牆、ssl 證書,並且我們不時執行 Microsoft Baseline Security Analyzer。

我們配置服務和使用者帳戶,因為我們認為大多數情況下是安全的(當您無法完全控制您執行的軟體時,這很困難),但我不能深入每個細節,每個服務和伺服器都是不同的。我得到了更多關於他們想要什麼的資訊,但我覺得他們好像是在釣魚探險。

我的問題是,這是要求提供此資訊的標準做法嗎?(老實說,我並不反對它,但以前從未發生過。)如果這是標準的,是否有標準格式和我應該呈現的預期詳細程度?

他們不需要您的整個內部 IT 政策的副本,但我認為他們可能會尋求與此類似的內容 - 肯定有人需要為您提供有關契約的足夠資訊,以確定您需要提供多少細節以及提供什麼。儘管我同意 Joseph 的觀點 - 如果他們出於法律/合規原因需要資訊,則需要有法律意見。

背景資料

  1. 您的任何員工是否位於美國境外?

  2. 貴公司是否制定了正式的文件化資訊安全政策?

  3. 您的資訊安全政策是否涵蓋資訊和數據的處理和分類?

  4. 您目前在您經營所在的州是否有任何未解決的監管問題?如果是,請解釋。

一般安全

  1. 您是否有針對員工和承包商的資訊安全意識培訓計劃?

  2. 您目前使用以下哪些方法來驗證和授權對您的系統和應用程序的訪問:

  • 由作業系統執行
  • 由商業產品執行
  • 單點登錄
  • 客戶端數字證書
  • 其他兩因素身份驗證
  • 自家種植
  • 沒有適當的身份驗證機制
  1. 誰授權員工、承包商、臨時工、供應商和業務合作夥伴訪問?

  2. 您是否允許您的員工(包括承包商、臨時工、供應商等)遠端訪問您的網路?

  3. 您是否有資訊安全事件響應計劃?若否,如何處理資訊安全事件?

  4. 您是否制定了處理髮送給公司外部的電子郵件中的內部或機密資訊的政策?

  5. 您是否至少每年審查一次您的資訊安全政策和標準?

  6. 採取了哪些方法和物理控制措施來防止未經授權訪問貴公司的安全區域?

  • 上鎖房間中的網路伺服器
  • 對受安全標識(訪問卡、生物辨識等)限制的伺服器的物理訪問
  • 影片監控
  • 登錄日誌和程序
  • 在安全區域始終可見安全徽章或身份證
  • 保安人員
  • 沒有
  • 其他,請提供更多詳細資訊
  1. 請描述所有環境的密碼策略?IE。長度、強度和老化

  2. 您是否有災難恢復 (DR) 計劃?如果是,你多久測試一次?

  3. 您是否有業務連續性 (BC) 計劃?如果是,你多久測試一次?

  4. 如果需要,您會向我們提供您的測試結果(BC 和 DR)的副本嗎?

架構和系統審查

  1. 意志

$$ The Company $$的數據和/或應用程序在專用或共享伺服器上儲存和/或處理? 2)如果在共享伺服器上,將如何

$$ The Company $$的數據是從其他公司的數據中分割出來的嗎? 3) 將提供哪些類型的公司間連接?

  • 網際網路
  • 私人/租用線路(例如,T1)
  • 撥號
  • VPN(虛擬專用網路)
  • 終端服務
  • 沒有
  • 其他,請提供更多詳細資訊
  1. 這個網路連接會被加密嗎?如果是,將使用什麼加密方法?

  2. 是否需要任何客戶端程式碼(包括 ActiveX 或 Java 程式碼)才能使用該解決方案?如果是,請描述。

  3. 您是否有防火牆來控制對您的 Web 伺服器的外部網路訪問。如果不是,該伺服器位於何處?

  4. 您的網路是否包括用於 Internet 訪問應用程序的 DMZ?如果不是,這些應用程序位於何處?

  5. 貴組織是否採取措施防止拒絕服務中斷?請描述這些步驟

  6. 您是否執行以下任何資訊安全審查/測試

  • 內部系統/網路掃描
  • 內部管理的自我評估和/或盡職調查審查
  • 內部程式碼評審/同行評審
  • 外部第三方滲透測試/研究
  • 其他,請提供詳細資訊 這些測試的執行頻率如何?
  1. 以下哪些資訊安全實踐正在您的組織內積極使用
  • 訪問控制列表
  • 數字證書 - 伺服器端
  • 數字證書 - 客戶端
  • 數字簽名
  • 基於網路的入侵檢測/預防
  • 基於主機的入侵檢測/預防
  • 入侵檢測/預防簽名文件的計劃更新
  • 入侵監控 24x7
  • 持續病毒掃描
  • 病毒特徵文件的預定更新
  • 滲透研究和/或測試
  • 沒有
  1. 你有強化或保護你的作業系統的標準嗎?

  2. 您是否有將更新和熱修復應用到您的作業系統的時間表?如果不是,請告訴我們您如何確定應用更新檔和關鍵更新的內容和時間

  3. 為防止電源或網路故障,您是否為關鍵事務系統維護完全冗餘的系統?

網路伺服器(如果適用)

  1. 用於訪問應用程序/數據的 URL 是什麼?

  2. Web 伺服器是什麼作業系統?(請提供作業系統名稱、版本和服務包或更新檔級別。)

  3. 什麼是網路伺服器軟體?

應用程序伺服器(如果適用)

  1. 應用伺服器是什麼作業系統?(請提供作業系統名稱、版本和服務包或更新檔級別。)

2)什麼是應用伺服器軟體?

  1. 您是否使用基於角色的訪問控制?如果是,如何為角色分配訪問級別?

  2. 你如何確保適當的授權和職責分離到位?

  3. 您的應用程序是否採用多級使用者訪問/安全性?如果是,請提供詳細資訊。

  4. 您的應用程序中的活動是否受到第三方系統或服務的監控?如果是,請向我們提供公司和服務名稱以及正在監控的資訊

數據庫伺服器(如果適用)

  1. 數據庫伺服器是什麼作業系統?(請提供作業系統名稱、版本和服務包或更新檔級別。)

  2. 正在使用哪些數據庫伺服器軟體?

  3. 數據庫是否被複製?

  4. 數據庫伺服器是集群的一部分嗎?

  5. 做了什麼(如果有的話)來隔離

$$ The Company $$其他公司的數據? 6) 意志

$$ The Company $$的數據,當儲存在磁碟上時,會被加密嗎?如果是,請描述加密方法 7) 如何擷取源數據?

  1. 如何處理數據完整性錯誤?

審計和日誌記錄

  1. 您是否將客戶訪問記錄在:
  • 網路伺服器?
  • 應用伺服器?
  • 數據庫伺服器?
  1. 是否審查了日誌?如果是,請說明流程以及審核頻率?

  2. 您是否提供系統和資源來維護和監控審計日誌和事務日誌?如果是,您會保留哪些日誌以及將它們儲存多長時間?

  3. 你會允許嗎

$$ The Company $$查看與我們公司相關的系統日誌? 隱私

1)解密/刪除/丟棄的流程和程序是什麼

$$ The Company $$的數據何時不再需要? 2) 您是否在任何時候錯誤或意外披露了客戶資訊?

如果是,您從那以後採取了哪些糾正措施?

  1. 承包商(非員工)是否可以訪問敏感或機密資訊?如果是,他們是否簽署了保密協議?

  2. 您是否有授權供應商訪問和維護您的網路、系統或應用程序?如果是,這些供應商是否簽訂了提供保密、背景調查和保險/損失賠償的書面契約?

  3. 您的數據是如何分類和保護的?

運營

  1. 備份的頻率和級別是多少?

  2. 備份的現場保留期是多久?

3)您的備份以什麼格式儲存?

  1. 您是否將備份儲存在異地位置?如果是,保留期限是多少?

  2. 你加密你的數據備份嗎?

  3. 你如何確保只執行有效的生產程序?

引用自:https://serverfault.com/questions/22644