我会试一试。

简而言之，语言是 CYA，如果您遭到破坏或黑客攻击并可以访问他们的数据，他们可以告诉他们的客户“Acme 说他们有一个安全程序并受到保护，所以这是他们的错”。

在这种情况下，如果您最终成为他们丢失数据的原因，他们可能会责怪您。

话虽如此，当公司合作或共享数据时，它是相当标准的合同语言。大多数情况下，它是一个“尽职调查”类型的神器。

关于你的问题：

有人可以将上面的报价翻译成普通英语吗？

基本上，您需要有记录的安全策略/程序。在这些文档中，您应该说明您为维护系统和确保提供足够的安全性所做的工作。您还应该尝试解决涉及安全相关主题（访问控制、审计、监控、事件响应等）的实际程序。您可能已经在您的正常标准操作程序 (SOP) 中介绍了其中的一些内容，您可以参考这些文件。当您创建新用户或更改组/角色时，是否有书面程序说明如何操作？有没有人同意这种改变？这些是应该解决的问题。如果没有将它们写下来，人们就没有关于如何执行它们的参考资料，并且他们会冒昧地这样做，这可能会引入安全漏洞。

我读了一些关于年度认证的东西，可以说我们公司应该使用第三方安全审计员并让他们告诉我们应该做什么吗？

这是许多组织采取的路线，但安全绝对不是应该“每年”审查的东西。这是一个持续的、永远的过程，应该集成到您的日常运营中。话虽如此，第三方团体可以执行“审核”作为您的年度认证。其结果将是一份报告，您可以使用该报告来修复缺陷并增强您的安全状况。强烈推荐这个，无论您的安全程序多么成熟。前几次你通过它，使用不同的供应商，这样你就可以比较结果。这些类型的评估的质量差异很大。

我们组织内的谁通常负责实施信息安全计划？

它们有许多名称，但安全的最终责任将由系统所有者承担。这可能是您的 CEO、项目经理，或者在更大的组织中是 ISSO 或信息系统安全官。在较小的组织中，它通常由产品或 IT 经理负责。在此阶段聘请顾问帮助启动此过程可能是一个好主意。当您开始与大型企业合作/合作时，您只会更频繁地看到这些要求。

我正在考虑推荐购买 ISO27001，但谁应该阅读它？（与上一个问题有关）

你到底在考虑买什么？ISO27001 是一个安全合规框架，它为保护您的资产/企业提供了一个方向，据我所知，除非它是一项服务或产品，否则您不应该预先支付任何费用。选择一个合规框架作为您的程序的基础是建立安全程序的第一步。我个人会推荐 ISO 或 NIST，因为它们是大型国际/国家标准，并且与其他合规框架（PCI、HIPAA 等）有很多重叠。话虽如此，我不知道您的目标是什么，因此您必须进行一些研究并选择最适合您的组织的方法。

我已经写了很多文档并进行了很多安全控制测试，所以我可能在这一点上固执己见，但如果您还有其他问题，请随时 PM 我。祝你好运！

法律和合同语言总是很复杂，有时读起来令人生畏，这就是为什么我们有时会掩盖产品的条款和条件页面

关于从哪里开始的问题

以下是来自 NIST、SANS 和 ISACA 等标准资源的一些链接，每个机构在处理信息安全的许多方面都有丰富的历史

SANS链接：-

https://www.sans.org/reading-room/whitepapers/hsoffice/designing-implementing-effective-information-security-program-protecting-data-assets-of-1398

ISACA 链接：-

https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Critical-Elements-of-Information-Security-Program-Success.aspx

现在关于您提到的邮件部分

我假设您的组织名称是 ACME

您将确保以下内容。

1. 您拥有自己设计和实施的信息安全计划，在协议期内，您将使用它来预防和减少您的团队或客户团队针对任何软件或服务识别的任何风险。

2. 您还将保护提供给您的公司或员工的客户机密数据。

例如：- 在美国，法律禁止未经个人许可公开个人的健康记录或社会安全号码。

3. 你会做一个详细的报告如下

• 风险评估：- 识别服务和运营的潜在风险 • 风险管理：- 建议和实施方法以避免或减少已识别风险的影响 • 建立控制流程：- 这涉及在发生风险时建立和维护指挥链事件，以便不间断地继续关键服务 • 培训：- 对所有相关员工进行安全和可靠的数据处理实践培训，并强调最佳实践

还要建立适当的反馈机制，以确保员工在建立这些实践中也发挥作用。从长远来看，它付出了很多。

4. 您将保护数据免遭丢失、破坏和更改，并防止敏感数据意外泄露。

5. 当数据存储在 USB 中或政府要求数据正在使用时，您将使用加密服务来实现此目的。

6. 您还将确保您的安全标准与您的客户的风险级别相同.

现在谈到您关于认证的问题，我建议进行两个级别的审核，一个是您的内部团队，这使您的组织有机会解决您公司特有的安全问题，并且始终建议使用第三方审核员，因为它可以提高客户满意度。

关于谁负责，通常是 CISO，即首席信息安全官。在项目级别，它将是项目经理和专门的安全团队。

我还要再一次重申，那些数据的用户应该主要注意他们如何处理它。

同样，我想指出任何类型的数据都可以归类为敏感数据，即它们种类繁多，如果您提到潜在客户来自金融部门，那么术语敏感数据可能包括商业交易从标准黑客的角度来看，这些细节或交易价值可能看起来并不有价值，但对您的客户竞争对手来说却非常重要。

不幸的是，我对您的最终查询几乎一无所知，但我建议在购买之前进行广泛的市场调查，因为标准可能会略有不同，如果不是很大的话。

我回复了很多。一件事跳出来：

ACME 将确保信息安全计划实质上等同于客户自己的信息安全标准，该标准不时适用于产品或服务带来的风险（统称为“信息安全标准”）。

获取客户的信息安全标准。逐行查看它，并注意哪些内容不适用于您的组织。

第二件事...您可能确实有一个信息安全计划，它可能只是非正式的。你的开发人员有密码，你有一个 SDLC，你使用变更管理，代码审查，你的 VPN 进入办公室，你对员工进行背景调查，你确保承包商不使用被盗代码或盗版软件，没有共享密码，你有工作站上的 AV 等

将你拥有的东西正式化，看看它是否符合客户的要求，这可能就是他们所需要的。当然，你需要得到你的主管的支持，如果客户有特定的要求（入侵预防、漏洞扫描等），他们可能需要资助你。

还要记住，他们唯一的选择就是参加你的比赛。如果您的竞争对手有惊人的信息安全和折扣价，那么您可能会遇到问题，但很有可能，他们处于相似的位置，所以不要担心是否完美，尽你所能并尝试改进情况。

这将一次又一次地发生，一个又一个客户。希望到那时你会得到一个信息安全人员。

ISO 27001 是一个非常轻量级的文件，需要大量的经验来理解和解释。我认为这不会有太大帮助。NIST 和 PCI 在这个阶段可能更有用，但这是我的看法。

如果您要开始一个安全计划，您需要定义该计划的范围。最好从有限的范围开始，这样您就可以使用可管理的东西。范围可以是开发和部署周期、系统加固和配置管理、用户管理、漏洞和安全测试程序等。从小范围开始可以让您学习并使最终目标可以实现。

上述每个领域都有应具备的行业标准流程和控制，您可以在 NIST 网络安全框架、SANS 关键安全控制、PCI DSS、ISO 等中找到这些。如果您要与行业标准，您需要选择一个。我提到的每一个都是国际公认的。我建议使用 NIST 网络安全框架，因为它很好地呈现并且易于理解。您还可以根据高级类别对实施进行优先级排序，并且易于审计。

再次阅读您的问题，我建议您查看 PCI DSS 的要求 6，特别是 6.3、6.5 和 6.6。作为一家开发公司，这些是您至少应该具备的确切行业标准——即安全开发、开发人员培训、代码审查、OWASP 漏洞知识以及通过防御性编码进行缓解的能力、使用适当的库、系统配置等

从审计的角度来看，您需要记录您所做的（或应该做的）并确保控制和流程与您的文档保持一致——如果这些不同步，就会出现问题。