Checklist de Tópicos para Política de segurança da Informação
Uma política de segurança de informação deveria cobrir cada dos artigos seguintes, ou tendo uma razão específica por omitir isto, de acordo com noções de padrões adotados pela organização .
• Importância de ativos .
• Necessidade para segurança (Diretrizes Legais nos Princípios de Segurança de Informação podem ser úteis – Exemplo ISO 27001).
• Leis administrativas e regulamentos .
• Aderência para leis, regulamentos, padrões industriais, e padrões de cuidado devido .
• Aplicabilidade para todo o corpo pessoal e terceiros contratados.
• Elementos , funções, e escopo de segurança .
• Tipos, representações, formas, e mídia de informação coberta.
• Perdas definidas.
• Valor Estratégico e tático de segurança .
• Classificação de informação .
• Privacidade (as Diretrizes de Privacidade podem ser úteis)
• Responsabilidade, motivação, recompensas e penalidades
• Relatórios de perdas suspeitadas e tentativas de violações.
• Resposta a emergência, recuperação de desastre, e continuidade empresarial
• Gerenciamento da segurança e sua equipe.
• Tarefa de implementação de segurança
• Especificação de padrões, diretrizes, treinamento, e consciência
• Divergências , exceções, e mudanças para políticas e padrões
• Especificação execução de comportamento ético
Também deveria incluir um glossário, um apêndice que contém requisitos legais documentado, e opcionalmente uma lista de objetivos de controle:
• Administração de segurança
• Segregação
• Exceções de padrões
• Segurança física
• Controles administrativos e operacionais
• Monitorando, usando softwares de controles lógicos
• Identificação e autenticação
• Trilhas de auditoria, diagnósticos, e relatórios de violações
• Disponibilidade de informação e utilidade
• Integridade de informação e autenticidade
• Informação Confidencial e posse
• Registro de software comercial
• Desenvolvimento de aplicação
• Uso de teste dados
• Controles internos de aplicação
• Transações
• Uso da Internet
• Operação de redes e características de administração de sistemas de segurança
• Segurança de rede
• Servidor de arquios, firewall, router, switch, bridge, hub , modem, linhas de comunicações, e controles de gateways
• Comunicações
• Status
• Sinais de advertências
• Dial-up
• Planejamento e teste de reassunção empresarial
• Segurança pessoal
• Desenvolvimento e aquisição de segurança
• Cliente, contratante e segurança de outsourcing
• Avaliação e teste de produtos
• Revisões de segurança
Nenhum comentário:
Postar um comentário