目標是清楚地制定企業資產的使用規則和程序。 這包括指向最終使用者以及 IT 和安全人員的資訊。 IT 安全政策應該設計以識別和解決組織的 IT 安全風險。 他們通過解決 IT 安全的三個核心目標(也稱為 CIA 三人)來做到這一點:
這三個目標可以通過各種不同的方式實現。 一個組織可能有多個針對不同受眾並解決各種風險和裝置的 IT 安全策略。
IT 安全性是組織的 IT 安全規則和原則的書面記錄。 由於幾個不同的原因,這可能很重要,包括:
組織的 IT 安全政策應該設計以滿足企業的需求。 它們可以是單一的合併政策,或一組解決不同問題的文件。
儘管如此,所有組織的 IT 安全政策都應包含某些關鍵信息。 無論是獨立文件還是較大文件中的部分,企業 IT 安全性政策都應包括以下內容:
除了這些核心政策之外,IT 安全政策還可以包括針對組織特定需求的部分。 例如,公司可能需要自帶裝置 (BYOD) 或遠端工作政策。
撰寫 IT 安全政策時,建立最佳做法是良好的起點。 SANS 研究所這樣的組織已發佈了 IT 安全政策的範本。
然後可以編輯這些範本以滿足組織的獨特需求。 例如,公司可能需要新增區段以解決獨特的使用案例,或根據企業文化量身定制語言。
IT 安全政策應該是一個生活的文件。 應定期檢討和更新,以滿足業務不斷變化的需求。
反映意見