合作伙伴需要我们的书面IT安全政策的副本,我不知道该怎么办

我的公司正在与另一家公司合作,作为合同的一部分,他们要求提供我公司的书面IT安全政策的副本。 我没有书面的IT安全政策,我也不确定我想给他们什么。 我们是一家微软商店。 我们有更新计划,有限的访问帐户来pipe理服务器,防火墙,SSL证书,我们不时地运行Microsoft基准安全分析器。

我们configuration服务和用户帐户,因为我们觉得这些服务和用户帐户大部分是安全和安全的(当你不能完全控制你运行什么软件的时候,这是很困难的),但是我不能深入每一个细节,每个服务和服务器都是不同的。 我得到更多关于他们想要的信息,但我觉得他们正在进行一次捕鱼活动。

我的问题是,这是一个标准的做法,要求这些信息? (我并没有诚实地反对,但是从来没有发生过。)如果这是标准的,是否有标准的格式和预期的细节水平?

他们不需要整个内部IT政策的副本,但是我认为他们可能会遇到类似的情况 – 有人肯定需要向您提供有关合同的足够信息,以确定您需要提供多less详细信息以及什么内容。 我同意约瑟夫 – 如果他们需要法律/合规的理由,需要合法的投入。

背景信息

1)您的员工是否位于美国境外?

2)贵公司是否有正式的和形成文件的信息安全政策?

3)您的信息安全政策是否涵盖了信息和数据的处理和分类?

4)您目前在您所在的州所处理的任何未决监pipe问题? 如果是,请解释。

一般安全

1)您是否有员工和承包商的信息安全意识培训计划?

2)您目前使用以下哪种方法来validation和授权访问您的系统和应用程序:

  • 由操作系统执行
  • 由商业产品执行
  • 单点login
  • 客户端数字证书
  • 其他双因素authentication
  • 家种
  • 没有authentication机制

3)谁授权员工,承包商,临时工,供应商和业务合作伙伴的访问?

4)您是否允许您的员工(包括承包商,临时工,供应商等)远程访问您的networking?

5)你有没有信息安全事件响应计划? 如果不是,如何处理信息安全事件?

6)您是否有一个政策,处理电子邮件中的内部或机密信息到您的公司以外?

7)您是否至less每年检查您的信息安全策略和标准?

8)有什么方法和物理控制措施来防止未经授权进入贵公司的安全区域?

  • networking服务器在locking的房间
  • 物理访问受安全标识限制的服务器(访问卡,生物识别等)
  • video监控
  • login日志和程序
  • 随时可以在安全区域看到安全徽章或身份证
  • 保安人员
  • 没有
  • 其他,请提供更多详细信息

9)请描述您所有环境的密码政策? IE浏览器。 长度,力量和老化

10)你有灾难恢复(DR)计划吗? 如果是的话,你多久testing一次?

11)您是否有业务连续性(BC)计划? 如果是的话,你多久testing一次?

12)如果有要求,你会提供我们的testing结果副本(BC和DR)吗?

架构和系统审查

1)[公司]的数据和/或应用程序是否在专用或共享服务器上存储和/或处理?

2)如果在共享服务器上,[公司]的数据如何与其他公司的数据分离?

3)将提供什么types的公司到公司连接?

  • 互联网
  • 私人/专线(如T1)
  • 拨号
  • VPN(虚拟专用networking)
  • terminal服务
  • 没有
  • 其他,请提供更多详细信息

4)这个networking连接会被encryption吗? 如果是,将使用什么encryption方法?

5)是否有任何客户端代码(包括ActiveX或Java代码)需要使用该解决scheme? 如果是,请描述。

6)你有防火墙来控制外部networking访问你的Web服务器。 如果不是,该服务器位于何处?

7)您的networking是否包含DMZ,以便互联网访问应用程序? 如果不是,这些申请在哪里?

8)贵组织是否采取措施确保拒绝服务中断? 请描述这些步骤

9)您是否执行以下任何信息安全评估/testing

  • 内部系统/networking扫描
  • 内部pipe理的自我评估和/或尽职调查评估
  • 内部代码评论/同行评审
  • 外部第三方渗透testing/研究
  • 其他,请提供详细信息这些testing的频率如何?

10)您的组织内正在积极使用以下哪种信息安全实践?

  • 访问控制列表
  • 数字证书 – 服务器端
  • 数字证书 – 客户端
  • 数字签名
  • 基于networking的入侵检测/预防
  • 基于主机的入侵检测/预防
  • 定期更新入侵检测/预防签名文件
  • 入侵监控24×7
  • 连续的病毒扫描
  • 定期更新病毒签名文件
  • 渗透研究和/或testing
  • 没有

11)您是否有硬化或保护操作系统的标准?

12)您是否有计划将更新和修补程序应用于您的操作系统? 如果不是,请告诉我们如何确定什么时候以及何时应用修补程序和关键更新

13)为了防止电源或networking故障,您是否为关键交易系统维护完全冗余的系统?

Web服务器(如果适用)

1)将用于访问应用程序/数据的URL是什么?

2)Web服务器是什么操作系统? (请提供操作系统名称,版本和服务包或补丁程序级别。)

3)什么是networking服务器软件?

应用程序服务器(如适用)

1)应用程序服务器是什么操作系统? (请提供操作系统名称,版本和服务包或补丁程序级别。)

2)什么是应用服务器软件?

3)您是否使用基于angular色的访问控制? 如果是的话,访问级别如何分配给angular色?

4)你如何确保适当的授权和职责分工?

5)您的应用程序是否使用多级用户访问/安全性? 如果是,请提供详情。

6)您的应用程序中的活动是否由第三方系统或服务进行监控? 如果是,请向我们提供公司和服务名称以及正在监控的信息

数据库服务器(如果适用)

1)数据库服务器是什么操作系统? (请提供操作系统名称,版本和服务包或补丁程序级别。)

2)哪个数据库服务器软件正在使用?

3)数据库是否被复制?

4)数据库服务器是集群的一部分吗?

5)将公司的数据与其他公司隔离开来是什么(如果有的话)?

6)将[公司]的数据存储在磁盘上时,是否被encryption? 如果是,请描述encryption方法

7)如何捕获源数据?

8)如何处理数据完整性错误?

审计和logging

1)您是否login客户访问:

  • networking服务器?
  • 应用程序服务器?
  • 数据库服务器?

2)日志审查? 如果是的话,请解释过程以及他们多久审查一次?

3)您是否提供系统和资源来维护和监视审计日志和事务日志? 如果是的话,你保留什么日志,你保存多久?

4)您是否允许[公司]检查您的系统日志,因为它们与我们公司有关系?

隐私

1)什么程序和程序用于解密/删除/丢弃[公司]的数据不再需要时?

2)您是否随时错误或意外透露客户信息?
如果是的话,那么你已经采取了哪些纠正措施?

3)承包商(非员工)是否可以访问敏感或机密信息? 如果是,他们是否签署了保密协议?

4)您是否有授权的供应商访问和维护您的networking,系统或应用程序? 如果是,这些供应商是否有书面合同,规定保密,背景调查和保险/赔偿损失?

5)您的数据如何分类和保护?

操作

1)你的备份频率和级别是多less?

2)备份的现场保留期是多less?

3)你的备份存储在什么格式?

4)您是否将备份存储在非现场位置? 如果是,保留期是多less?

5)你是否encryption你的数据备份?

6)你如何确保只有有效的生产程序被执行?

在与受监pipe行业(银行)或政府合作时,我只被要求提供这方面的信息。

我本身并不知道“标准格式”,但是当我不得不做出这些决定时,总是给我一些模板,让我的客户被审计员作为“起始地点”。

我可能会开始一些谷歌search,看看我能find什么样的政策文件。 SANS( http://www.sans.org )也是另一个开始寻找的好地方。

至于详细程度,我想说可能需要为观众和目的量身定做。 我会保持细节的高层次,除非我被特别要求提供低层次的细节。

公司可能希望看到您的安全策略有几个不同的原因。 一个例子是支付卡行业(Visa,MasterCard,AmEx等)要求处理信用卡的公司必须遵守支付卡行业 – 数据安全标准(PCI-DSS)。 PCI-DSS的一部分要求公司的合作伙伴必须遵守PCI-DSS(这当然需要书面的政策)。

坦率地说,如果我允许你通过VPN或直接连接访问你的networking,那么我想知道你有一定的安全级别,否则我会面对各种潜在的问题。

这就是为什么PCI或ISO 27001authentication可以成为这方面的一个福音,因为你可以让外部组织知道你的事情处理达到一定水平。 如果你的政策是一般的政策应该是,那么提供副本给你的伴侣可能不是一个问题。 但是,如果他们想看到具体的程序或安全信息,那么我不会让这个离开我的网站。

卡拉有一些很好的指导你要在你的政策涵盖什么。 这是一个政策的例子。

IT-001系统备份/恢复策略

一,引言本节讨论备份如何重要,如何计划testing和保持副本不在现场。

II。 目的 A.本策略将涵盖频率,存储和恢复B.此策略涵盖数据,操作系统和应用程序软件C.所有备份/恢复过程都必须备案并保存在安全的地方

III。 范围本部分指出,该政策涵盖贵公司的所有服务器和数据资产(以及其他任何特定领域,如卫星办公室)。

IV。 angular色和责任 A.pipe理器 – 决定备份的内容,确定频率,介质和过程,并检查备份是否发生B.系统pipe理 – 运行备份,检查备份,testing备份,传输备份,恢复testing,维护备份轮换的祖父/父/子C.用户 – input什么得到备份,必须将数据放在指定要备份的位置

五,政策描述备份 – 你想说的一般意义上的备份所有的东西恢复 – 所有你想说的一般意义上的恢复

具体的逐步说明应该在一个单独的程序/工作指导文件。 但是,如果组织规模很小,则可能不会将策略与程序分开。

我希望这会有所帮助,并给你一些有用的信息。

我最近不得不写这其中的一个,这并不是太困难。 当然,即使是关于剪裁的观点也很重要,因为有些细节会比其他细节描述更多的工作。 NIST还有一个大型的免费在线出版物库,用于描述用于各种目的的安全措施,您可以将这些用于不确定需要什么types/程度的安全措施。

尽pipe如此,以下是一些通用的类别:

  • 数据保留策略
  • 备份程序/访问备份
  • 内部访问限制(物理和虚拟)
    • networking(无线,有线)
    • 硬件(服务器,工作站,办公场所,异地/远程工作)
    • 主机/数据中心(如果您要存储合作伙伴数据,这一点很重要)
    • 操作系统
  • 人员筛选

这个名单可以扩大或缩小基于现在很多信息是必要的。 另外,如果你还没有完全掌握所有这些,就不用担心了。 我的build议是坚持描述你的“意图”的政策,但准备立即扩大缺乏的东西。 也准备好接受你所声称的东西,不pipe这个东西多么不可能(后面的律师不会在意)。

我会得到贵公司的法律顾问的意见,特别是因为它是合同的一部分。

为了解决这个需要,你必须发送一份你的安全策略文档,这样会对安全性有一点影响。 我写了我们的安全策略,并从SAN的模板中抽取了大部分文档。 其他人可以在Google上进行特定的政策search。 我们处理一个希望看到这个政策的外部团队的方式是让他们坐在我们的办公室主任的办公室里,让他们阅读。 我们的政策是,政策永远不会离开build设,更具体地说,我们的视线。 我们确实有任何第三方必须同意以特定的身份工作,需要访问我们的信息的协议。 他们正在逐案处理。 这项政策可能不适合您的环境,也不会将SAN网站上的所有政策与您或您的业务相关,但是我build议您开始构build安全政策的过程,一旦上级pipe理层批准,就开始执行此政策。

这是不是标准的做法:对于某些受监pipe的行业,如银行,食品,能源等,我的经验是肯定的。

是否有一个标准的格式:有一些标准,但是如果你的合同没有规定一个标准(例如ISO),那么你应该合同确定提供任何格式你select。

这不应该是困难的。 你已经有一个补丁和密码标准,所以文档应该指定标准是什么,以及如何确保它遵循。 不要陷入花费太多时间让它变得漂亮的陷阱。 只要一个简单的文件就足够了。

如果您的合同指定使用特定的标准,那么您应该寻求专业的帮助,以确保您的合同合规。

我们得到这个问题很多,因为我们是一个托pipe设施。 底线是,除非我们事先确切地知道他们在找什么,否则我们不会泄露。 如果他们在我们的安全政策中寻找我们没有的东西,那通常是因为我们业务的本质并不需要它,我们就这么告诉他们。 这可能是主观的,但没关系 – 我们还没有因此而失去任何业务。 往往不是,他们问,因为他们必须告诉别人他们做了。 一个“不”答案不一定是坏事或交易断路器。

我们刚刚通过了SAS70 IIauthentication,所以现在我们只是给出审计意见书,让我们来说说我们的书面政策。

在你展示任何东西之前,你需要一个NDA。 然后,我会让他们来审查安全政策,但从来没有一个副本。