iT邦幫忙

0

政策(Policies)

https://ithelp.ithome.com.tw/upload/images/20211021/20132160hWtmTqo03z.jpg
-政策框架
利益相關者在製定全面而實用的政策方面發揮著重要作用。因此,必須記住,政策並非僅由管理人員創建。
來源:NIST SP 800-12 R1

以下摘自 The Effective CISSP:安全和風險管理
政策在戰略執行中起著至關重要的作用。政策代表“組織的意圖和方向,由其最高管理層正式表達。” (ISO 22301) 它影響人們的行為並指導組織的運營。
根據意圖,發布一些政策是為了響應並遵守法律或法規(監管政策),而有些政策可能是諮詢性或信息性的。除了意圖之外,政策還有一個範圍,可以在組織結構、產品或服務、地理位置、信息系統或舉措等方面適用於不同的受眾或目標。
存在三種常見的安全相關政策類型。程序政策用於創建程序。針對特定問題的政策針對關注的特定問題。特定於系統的政策側重於系統保護。
政策通常包括目標、範圍、角色和職責等基本要素。它可以採用自上而下或自下而上的方法來製定。但是,無論哪種方式,都必須獲得批准才能繼續;也就是說,在製定政策文件之前,應該批准繼續進行。政策文件由政策審批機關批准後公佈實施。政策審批機關對後續的合規性負最終責任。
https://ithelp.ithome.com.tw/upload/images/20211021/20132160TMbaGt1GBu.jpg
-政策框架

參考
. NIST SP 800-12 R1

資料來源: Wentz Wu QOTD-20210820
My Blog: https://choson.lifenet.com.tw/


尚未有邦友留言

立即登入留言