優れたセキュリティポリシーとは

3つの原則は、すべての組織のセキュリティインフラストラクチャの基礎となるべきであり、ITセキュリティポリシーの目標であるべきです。これらの原則は CIA トライアドと呼ばれています。これは以下の略です。

‍

• 守秘義務:これは、企業がデータを非公開に保ち、権限のあるユーザーは自分の業務に必要なデータにのみアクセスできるようにし、権限のないユーザーにはアクセスできないようにすることを指します。
• インテグリティ:これは、データが完全で改ざんされていないことを確認して、本物であると信頼できるようにすることを指します。
• 空室状況:これは、ユーザーがネットワーク、データ、およびシステムにアクセスできることを意味します。つまり、必要なものはすべて時間どおりに稼働し、応答しているということです。

‍

IT セキュリティポリシーの構成要素とは

情報セキュリティポリシーは、テクノロジーや組織自体の変化に対応するために定期的に更新する必要がある生きた文書です。セキュリティポリシーの構成要素は、企業の規模、IT インフラストラクチャのタイプ、企業が扱うデータや情報の種類によって異なります。

国際標準化機構 (ISO) と米国国立標準技術研究所 (NIST) の両方が、セキュリティポリシーを作成するための標準を公開しています。また、セキュリティポリシーの作成を始めるのに役立つ多くのセキュリティポリシーテンプレートがオンラインで見つかります。

ITセキュリティポリシーの代表的な要素は次のとおりです。

‍

目標

すべてのセキュリティポリシーは、ビジネスにとってセキュリティが何を意味するのかを定義する必要があります。ポリシーの定義セクションは簡潔で、読者に文書の意図を伝える必要があります。

‍

ユーザーアクセス規則

セキュリティポリシーは、組織のネットワーク上のリソースにアクセスするユーザーの役割と責任を定義する必要があります。

‍

セキュリティプロファイル

適切なセキュリティポリシーがあれば、ネットワーク上のサーバー、ファイアウォール、ワークステーションなどのデバイスにセキュリティプロファイルをどのように適用するかを特定できます。

‍

[パスワード]

脆弱なパスワードはセキュリティ上のリスクが非常に大きいため、セキュリティポリシーによってユーザーパスワードの最小複雑さが定義されます。

‍

執行

セキュリティポリシーは、ポリシーに従わなかったり、セキュリティ違反が発生した場合に取られるアクションを定義する必要があります。

‍

監査

セキュリティポリシーが守られていることを確認するには、組織を監査してください。ポリシーでは、これらの監査の実施方法を定義する必要があります。

‍

意識向上トレーニング

トレーニングはセキュリティプログラムに欠かせないものです。データセキュリティにおける防御の最前線は、セキュリティ上の問題に目を光らせている訓練を受けたスタッフです。

‍

結論

データと ネットワークセキュリティ あらゆるビジネスの関心事です。セキュリティを向上させるには、企業が IT セキュリティポリシーを策定することから始める必要があります。これにより、社内でのデータや IT 資産の取り扱い方法の基準が定められます。

‍

さらに詳しく

ディスカバー イルミオのセキュリティポリシーの仕組み そしてどうやって ゼロトラストセグメンテーションプラットフォーム 侵害やランサムウェアの拡散を阻止します。

‍