什么是 IT 安全政策?
信息技术 (IT) 安全政策 确定了所有个人访问和使用组织 IT 资产和资源的规则和程序。有效的信息技术安全政策是组织文化的典范,其中的规则和程序都是从其员工对待信息和工作的态度出发的。因此,有效的信息技术安全政策对于每个组织来说都是一份独一无二的文件,它是从组织人员的风险承受能力、他们如何看待和珍视自己的信息以及由此产生的信息可用性等角度出发制定的。正因如此,许多公司会发现模板式的 IT 安全政策并不合适,因为它没有考虑到组织人员之间以及对公众实际使用和共享信息的方式。
信息技术安全政策的目标是维护组织成员使用的系统和信息的保密性、完整性和可用性。这三个原则构成了中央情报局的三原则:
- 保密 涉及保护资产不受未经授权实体的侵犯
- 完整性 确保以规定和授权的方式处理资产的修改
- 可用性 是指授权用户可持续访问所述资产的系统状态
IT 安全政策是一份持续更新的文件,以适应不断变化的业务和 IT 要求。国际标准化组织(ISO)和美国国家标准与技术研究院(NIST)等机构已经发布了安全政策制定的标准和最佳实践。根据美国国家研究委员会(NRC)的规定,任何公司政策的规范都应涉及以下内容:
- 目标
- 范围
- 具体目标
- 合规性责任和不合规时应采取的行动。
此外,每项 IT 安全政策都必须包含有关遵守组织行业法规的章节。常见的例子包括世界范围内的《PCI 数据安全标准》和《巴塞尔协议》,或美国的《多德-弗兰克华尔街改革法案》、《消费者保护法案》、《健康保险可携性和责任法案》以及金融业监管局。其中许多监管实体本身就要求制定书面的 IT 安全政策。
一个组织的安全策略将在其决策和方向上发挥很大作用,但不应改变其策略或使命。因此,在撰写政策时,一定要从组织现有的文化和结构框架出发,支持良好生产力和创新的持续发展,而不能将其作为阻碍组织及其员工完成使命和目标的通用政策。
