我知道网络上有很多安全策略示例和模板。我很想知道是否有实际使用并仍公开发布的安全策略。 我知道他们在那里,所以我在这里询问是否有其他人了解发布这些政策供所有人查看的公司或组织。如果您知道任何链接,请提供链接,如果您知道为什么公开发布它会完全满足我对此事的好奇心,那就更好了。
实际使用的安全策略在哪里?
信息安全
企业政策
研究
2021-09-04 14:40:04
4个回答
这可能更像是一个模板而不是政策,但我认为这里值得一提。
美国国家标准与技术研究院有许多关于信息系统安全的特殊出版物 (SP)。这些统称为800 系列,因为它们都有以 800 开头的数字名称。它们被一些政府组织使用,我想一些公司也采用了这些概念。
其中最重要的(也是与这个问题最相关的)可能是 NIST SP 800-53,“针对联邦信息系统和组织的推荐安全控制”。在撰写本文时(2011 年 1 月 29 日),本文档的最新版本是 Rev. 3,可以在此处以 PDF 格式下载:
我可以写一篇完整的论文来描述这个文档是什么、如何阅读以及如何使用它。在这里,我认为只要说它提供了一个坚实的基础,组织就可以建立一个安全计划来保护其 IT 系统。
出于显而易见的原因,许多公司对发布他们的政策感到非常紧张。然而,这些理由的优点是无关紧要的。另一方面,我很幸运能在教育网站上找到这样的政策。
由于教育机构内的特定环境,标准和政策通常是公开的。原因很多,并且取决于机构的文化,但通常与“回馈”社区的固有概念有关。基于此,您可以使用标准的Google 搜索找到大量点击。
这些是我多年来用作参考的一些政策/标准,或者他们提供的信息类型:
反对:
- 成本 - 一些组织认为他们的政策应该是他们的知识产权,因为他们花钱开发不应该只是给别人
- 数据泄漏 - 策略是否泄漏可能对攻击者有用的信息?许多组织没有多余的资源可供检查,因此请一揽子决定将它们全部保密
为了:
- 共享环境 - 如果您有一套良好的政策,您的客户、合作伙伴等可以使用它们来提高自己的安全性,从而带来更安全的业务环境并间接使您的组织受益
- 声誉 - 如果您的策略看起来非常好,这可以与强大的安全声誉相结合,这可能会阻止某些类别的攻击者,他们可能会瞄准较低的目标
例子
- 两位学者 -巴斯大学 和伦敦金融城
- 为第三方使用安全策略的一个很好的例子 - DWP
- 大公司 - British Energy (非常简短的政策)
其它你可能感兴趣的问题