Exceções para exigências de segurança de informação
Organizações devem ter uma política de exceção de
segurança, até mesmo se as exceções são limitadas a condições extremas ou
situações de emergência. Até mesmo a segurança básica controla, como deve ser a
autenticação de usuários, deveria estar sujeito a exceção , por exemplo,
preservar o anonimato ou segregação de
deveres. O dono de informação e pelo menos um nível de administração sobre o
dono deveria ser juntamente responsável para autorizar qualquer exceção. Tal
autorização pode ser estendida a níveis mais altos para exceções significantes.
O dono de informação deveria ser responsável para informar os , provedores de
serviço, e usuários da informação, como também a unidade de segurança de
informação, sobre as exceções. A auditoria e unidades legais podem desempenhar
bons papéis no processo.
Um exemplo de uma forma de
exceção inclui os tópicos seguintes: método alternativo a ser usado, controle
de dial-up para um microcomputador não
conectado a uma rede, comunicação controlada, controle de comunicação de
informação sensível sem criptografar , e uma categoria para exceções adicionais. Esta lista
demonstra a gama larga de exceções que uma organização pode precisar cobrir, e
demonstra a ênfase em assuntos particulares
que freqüentemente podem surgir. A categoria de situações de coberturas de um
padrão de proteção específico não pode ser totalmente ou parcialmente ignorado sem uma
substituta alternativa.
Nenhum comentário:
Postar um comentário