iT邦幫忙

2023 iThome 鐵人賽

DAY 26
0

所有政策都必須符合組織的監管或契約義務,並盡量簡單明瞭,使一般人能輕易理解,以下為常見的安全相關政策:

資料處理政策

規定資料為公司內部使用、僅限部分角色使用,或可以任意公開的等級。部分資料還有相關法律定義,政策應該要說明清楚,或進行分類;正確的分類有助於組織的法律遵循。例如信用卡資料應該進行加密,並列為機密儲存,以符合 PCI DSS 的要求。

密碼政策

規定組織內部的密碼標準,包含複雜度、長度、過期時間、重複使用密碼代數等,也應明訂執行者與驗證者。

可接受使用政策(AUP)

規定組織提供的網路、設備、系統可被接受的使用方式,通常為僅允許公務使用,不應使用於私人事務,或從事非公務相關的操作、瀏覽等使用方式。

自攜設備(BYOD)政策

由於員工可能習慣使用自己的設備,因此公司可能允許員工使用自行購買的設備處理公務,但對公司來說會失去對設備的控制權。由於設備包含了員工的私人資料,若要對設備進行取證、稽核會較為麻煩。
因此公司可要求員工閱讀並同意 BYOD 政策,並且使用適當的工具或方法減低 BYOD 帶來的安全風險,例如 VPN、遠端桌面、RBI(遠端瀏覽器隔離)等技術。

隱私權政策

通常員工於公務中,經常會接觸到可識別個人資訊(PII)(或電子健康資訊(ePHI)),組織必須明確告知員工處理個資的政策與程序,以及違規導致的法律後果。

變更管理政策

如同昨天所提到的變更管理,變更管理包含了決定、執行與確認驗證三個階段,政策中必須明確規定變更的決定、執行、確認驗證流程,以確保每次的變更都不會導致新的漏洞,或其他對營運產生不利的影響。

政策違反

每項政策都應明訂違反的後果,首次可能為警告,再犯則為記過、強制休假、留職停薪等懲罰,若嚴重違規更可能免職處分。這些政策與懲罰都應該在新進員工訓練中被明確傳達,並由員工簽署確認,例如常見的保密協議(NDA)即為其中一例。


上一篇
[Day 25] 配置管理
下一篇
[Day 27] 資安認知教育訓練 - 1
系列文
30 天取得 ISC2 Certified in Cybersecurity30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言