Một đối tác muốn có một bản sao của chính sách bảo mật CNTT bằng văn bản của chúng tôi và tôi không biết phải làm gì [đã đóng]


23

Công ty của tôi đang làm việc với một công ty khác và là một phần của hợp đồng, họ đang yêu cầu một bản sao Chính sách bảo mật CNTT bằng văn bản của công ty tôi. Tôi không có chính sách bảo mật CNTT bằng văn bản và tôi không chắc chắn chính xác những gì tôi muốn cung cấp cho họ. Chúng tôi là một cửa hàng của Microsoft. Chúng tôi đã cập nhật lịch trình, hạn chế truy cập tài khoản để quản lý máy chủ, tường lửa, chứng chỉ ssl và thỉnh thoảng chúng tôi chạy Trình phân tích bảo mật cơ sở của Microsoft.

Chúng tôi định cấu hình dịch vụ và tài khoản người dùng vì chúng tôi cảm thấy hầu hết an toàn và bảo mật (thật khó khăn khi bạn không có toàn quyền kiểm soát phần mềm nào bạn chạy), nhưng tôi không thể đi sâu vào từng chi tiết, mỗi dịch vụ và máy chủ đều khác nhau. Tôi đang nhận được nhiều thông tin hơn về những gì họ muốn nhưng tôi cảm thấy như thể họ đang trong một chuyến thám hiểm câu cá.

Câu hỏi của tôi là, Đây có phải là một thực hành tiêu chuẩn để yêu cầu thông tin này? (Tôi không phản đối nó một cách trung thực, nhưng điều đó chưa từng xảy ra trước đây.) Và nếu đây là tiêu chuẩn, có định dạng chuẩn và mức độ chi tiết dự kiến ​​tôi nên trình bày không?


1
Hóa ra chúng tôi đang xin chứng nhận c-tpat. Chúng tôi chỉ được yêu cầu tuân thủ hai điều. 1) Bảo vệ mật khẩu 2) Trách nhiệm ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/, ) Mặc dù vậy, tôi đã bắt đầu một dự án để có kế hoạch chính thức sử dụng rất nhiều lời khuyên của bạn, không phải để chứng nhận mà cho chính chúng ta.
recbot

Câu hỏi này không có chủ đề theo các quy tắc chủ đề hiện hành.
Vô vọngN00b

Câu trả lời:


44

Họ không cần một bản sao của toàn bộ chính sách CNTT nội bộ của bạn nhưng tôi nghĩ rằng họ có thể đang theo một thứ tương tự như thế này - ai đó chắc chắn cần cung cấp cho bạn đủ thông tin về hợp đồng để xác định bạn cần cung cấp bao nhiêu chi tiết và về những gì. Tôi đồng ý với Joseph - nếu họ cần thông tin vì lý do pháp lý / tuân thủ, cần phải có đầu vào hợp pháp.

Thông tin lai lịch

1) Có nhân viên nào của bạn ở bên ngoài Hoa Kỳ không?

2) Công ty của bạn đã chính thức hóa và ghi lại các chính sách bảo mật thông tin chưa?

3) Việc xử lý và phân loại thông tin và dữ liệu có nằm trong chính sách bảo mật thông tin của bạn không?

4) Có bất kỳ vấn đề pháp lý nổi bật nào mà bạn hiện đang giải quyết ở (các) tiểu bang bạn hoạt động không? Nếu có, xin giải thích.

An ninh chung

1) Bạn có chương trình đào tạo nâng cao nhận thức bảo mật thông tin cho nhân viên và nhà thầu không?

2) Phương pháp nào sau đây để xác thực và cho phép truy cập vào hệ thống và ứng dụng của bạn hiện đang sử dụng:

  • Thực hiện bởi hệ điều hành
  • Thực hiện bởi sản phẩm thương mại
  • Dấu hiệu duy nhất trên
  • Chứng thư số phía khách hàng
  • Xác thực hai yếu tố khác
  • Trồng tại nhà
  • Không có cơ chế xác thực tại chỗ

3) Ai cho phép truy cập cho nhân viên, nhà thầu, temps, nhà cung cấp và đối tác kinh doanh?

4) Bạn có cho phép nhân viên của mình (bao gồm nhà thầu, temps, nhà cung cấp, v.v.) có quyền truy cập từ xa vào mạng của bạn không?

5) Bạn có kế hoạch ứng phó sự cố an ninh thông tin không? Nếu không, sự cố bảo mật thông tin được xử lý như thế nào?

6) Bạn có chính sách giải quyết việc xử lý thông tin nội bộ hoặc bí mật trong tin nhắn email đến bên ngoài công ty của bạn không?

7) Bạn có xem lại các chính sách và tiêu chuẩn bảo mật thông tin của mình ít nhất hàng năm không?

8) Có những phương pháp và biện pháp kiểm soát vật lý nào để ngăn chặn truy cập trái phép vào các khu vực an toàn của công ty bạn?

  • Máy chủ mạng trong phòng bị khóa
  • Truy cập vật lý vào các máy chủ bị giới hạn bởi nhận dạng bảo mật (thẻ truy cập, sinh trắc học, v.v.)
  • Video giám sát
  • Đăng nhập và thủ tục đăng nhập
  • Phù hiệu bảo mật hoặc thẻ ID có thể nhìn thấy mọi lúc trong khu vực an toàn
  • Nhân viên bảo vệ
  • không ai
  • Khác, vui lòng cung cấp thêm chi tiết

9) Hãy mô tả chính sách mật khẩu của bạn cho tất cả các môi trường? I E. Chiều dài, sức mạnh và lão hóa

10) Bạn có kế hoạch khắc phục thảm họa (DR) không? Nếu có, bạn có thường xuyên kiểm tra nó không?

11) Bạn có kế hoạch kinh doanh liên tục (BC) không? Nếu có, bạn có thường xuyên kiểm tra nó không?

12) Bạn có cung cấp cho chúng tôi bản sao kết quả xét nghiệm của bạn (BC và DR) nếu được yêu cầu không?

Kiến trúc và đánh giá hệ thống

1) Dữ liệu và / hoặc ứng dụng của [Công ty] sẽ được lưu trữ và / hoặc xử lý trên máy chủ chuyên dụng hoặc dùng chung?

2) Nếu trên máy chủ dùng chung, dữ liệu của [Công ty] sẽ được phân đoạn từ dữ liệu của các công ty khác như thế nào?

3) Loại kết nối giữa công ty với công ty sẽ được cung cấp?

  • Internet
  • Đường dây riêng / cho thuê (ví dụ: T1)
  • Quay sô
  • VPN (Mạng riêng ảo)
  • Dịch vụ đầu cuối
  • không ai
  • Khác, vui lòng cung cấp thêm chi tiết

4) Kết nối mạng này có được mã hóa không? Nếu có, phương thức mã hóa nào sẽ được sử dụng?

5) Có bất kỳ mã phía máy khách nào (bao gồm mã ActiveX hoặc mã Java) được yêu cầu để sử dụng giải pháp không? Nếu đồng ý, vui lòng mô tả hay chi tiết về nó.

6) Bạn có tường lửa để kiểm soát truy cập mạng bên ngoài vào (các) máy chủ web của mình không. Nếu không, máy chủ này nằm ở đâu?

7) Mạng của bạn có bao gồm DMZ để truy cập Internet vào các ứng dụng không? Nếu không, những ứng dụng này nằm ở đâu?

8) Tổ chức của bạn có thực hiện các bước để đảm bảo chống lại sự ngừng hoạt động của Dịch vụ không? Hãy mô tả các bước này

9) Bạn có thực hiện bất kỳ đánh giá / kiểm tra bảo mật thông tin nào sau đây không

  • Quét hệ thống / mạng nội bộ
  • Quản lý nội bộ tự đánh giá và / hoặc đánh giá thẩm định
  • Đánh giá mã nội bộ / đánh giá ngang hàng
  • Các nghiên cứu / nghiên cứu thâm nhập của bên thứ 3
  • Khác, Vui lòng cung cấp chi tiết Tần suất các xét nghiệm này được thực hiện như thế nào?

10) Thực hành bảo mật thông tin nào sau đây đang được sử dụng tích cực trong tổ chức của bạn

  • Danh sách kiểm soát truy cập
  • Chứng thư số - Phía máy chủ
  • Chứng thư số - Phía khách hàng
  • Chữ ký số
  • Phát hiện / ngăn chặn xâm nhập dựa trên mạng
  • Phát hiện / ngăn chặn xâm nhập máy chủ
  • Cập nhật theo lịch trình cho các tệp chữ ký phát hiện / ngăn chặn xâm nhập
  • Giám sát xâm nhập 24x7
  • Quét virus liên tục
  • Cập nhật theo lịch trình cho các tập tin chữ ký virus
  • Nghiên cứu thâm nhập và / hoặc xét nghiệm
  • không ai

11) Bạn có tiêu chuẩn để làm cứng hoặc bảo vệ hệ điều hành của mình không?

12) Bạn có lịch trình áp dụng các bản cập nhật và sửa lỗi nóng cho hệ điều hành của mình không? Nếu không, vui lòng cho chúng tôi biết cách bạn xác định những gì và khi nào nên áp dụng các bản vá và cập nhật quan trọng

13) Để cung cấp bảo vệ khỏi sự cố mất điện hoặc mạng, bạn có duy trì các hệ thống dự phòng đầy đủ cho các hệ thống giao dịch quan trọng của mình không?

Máy chủ Web (nếu có)

1) URL nào sẽ được sử dụng để truy cập ứng dụng / dữ liệu?

2) Máy chủ web là (các) hệ điều hành nào? (Vui lòng cung cấp tên hệ điều hành, phiên bản và gói dịch vụ hoặc mức vá lỗi.)

3) Phần mềm máy chủ web là gì?

Máy chủ ứng dụng (nếu có)

1) Máy chủ ứng dụng (các) hệ điều hành nào? (Vui lòng cung cấp tên hệ điều hành, phiên bản và gói dịch vụ hoặc mức vá lỗi.)

2) Phần mềm máy chủ ứng dụng là gì?

3) Bạn đang sử dụng kiểm soát truy cập dựa trên vai trò? Nếu có, các cấp truy cập được gán cho vai trò như thế nào?

4) Làm thế nào để bạn đảm bảo rằng ủy quyền và phân biệt nhiệm vụ thích hợp được đưa ra?

5) Ứng dụng của bạn có sử dụng quyền truy cập / bảo mật đa cấp của người dùng không? Nếu có, xin vui lòng cung cấp chi tiết.

6) Các hoạt động trong ứng dụng của bạn có được giám sát bởi hệ thống hoặc dịch vụ của bên thứ ba không? Nếu có, vui lòng cung cấp cho chúng tôi tên công ty và dịch vụ và thông tin nào đang được theo dõi

Máy chủ cơ sở dữ liệu (nếu có)

1) Máy chủ cơ sở dữ liệu (các) hệ điều hành nào? (Vui lòng cung cấp tên hệ điều hành, phiên bản và gói dịch vụ hoặc mức vá lỗi.)

2) Phần mềm máy chủ cơ sở dữ liệu nào đang được sử dụng?

3) DB có được nhân rộng không?

4) Máy chủ DB có phải là một phần của cụm không?

5) Điều gì được thực hiện (nếu có) để cô lập dữ liệu của [Công ty] khỏi các công ty khác?

6) Dữ liệu của [Công ty] khi được lưu trữ trên đĩa có được mã hóa không? Nếu có, vui lòng mô tả phương thức mã hóa

7) Dữ liệu nguồn được thu thập như thế nào?

8) Lỗi toàn vẹn dữ liệu được xử lý như thế nào?

Kiểm toán và ghi nhật ký

1) Bạn có đăng nhập quyền truy cập của khách hàng vào:

  • Máy chủ web?
  • Máy chủ ứng dụng?
  • Các máy chủ cơ sở dữ liệu?

2) Các bản ghi được xem xét? Nếu có, vui lòng giải thích quy trình và tần suất họ được xem xét?

3) Bạn có cung cấp hệ thống và tài nguyên để duy trì và giám sát nhật ký kiểm toán và nhật ký giao dịch không? Nếu có, nhật ký nào bạn giữ lại và bạn lưu trữ chúng trong bao lâu?

4) Bạn có cho phép [Công ty] xem xét nhật ký hệ thống của bạn khi chúng liên quan đến công ty chúng tôi không?

Riêng tư

1) Các quy trình và thủ tục được sử dụng để giải mật / xóa / loại bỏ dữ liệu của [Công ty] khi không còn cần thiết là gì?

2) Bạn có bất cứ lúc nào nhầm lẫn hoặc vô tình tiết lộ thông tin khách hàng không?
Nếu có, bạn đã thực hiện những biện pháp khắc phục nào?

3) Các nhà thầu (không phải nhân viên) có quyền truy cập vào thông tin nhạy cảm hoặc bí mật không? Nếu có, họ đã ký một thỏa thuận không tiết lộ?

4) Bạn có nhà cung cấp nào được phép truy cập và bảo trì mạng, hệ thống hoặc ứng dụng của mình không? Nếu có, các nhà cung cấp này theo hợp đồng bằng văn bản cung cấp bảo mật, kiểm tra lý lịch và bảo hiểm / bồi thường chống lại mất mát?

5) Dữ liệu của bạn được phân loại và bảo mật như thế nào?

Hoạt động

1) Tần suất và mức độ sao lưu của bạn là gì?

2) Thời gian duy trì tại chỗ của các bản sao lưu là gì?

3) Định dạng sao lưu của bạn được lưu trữ trong?

4) Bạn có lưu trữ bản sao lưu tại một địa điểm không? Nếu có, thời gian duy trì là gì?

5) Bạn có mã hóa sao lưu dữ liệu của bạn?

6) Làm thế nào để bạn đảm bảo rằng chỉ các chương trình sản xuất hợp lệ được thực thi?


Kara đây là một trong những câu trả lời được suy nghĩ kỹ lưỡng và chi tiết nhất mà tôi thậm chí đã nhận được. Tôi đoán bạn đã làm điều này một vài lần.
recbot

1
Tôi đã quen với việc điền chúng, vâng. ;) Tôi nghi ngờ họ được tập hợp bởi những ủy ban rộng lớn trong những căn phòng tối tăm, đầy khói thuốc ... Tôi rất vui vì điều đó có ích, tho. Sự khó khăn mà bạn được trao là một lý do rất lớn để SF tồn tại.
Kara Marfia

1
"Có nhân viên nào của bạn ở bên ngoài Hoa Kỳ không?" -- buồn cười. Theo quan điểm của tôi, sẽ có nhiều rủi ro hơn khi có một nhân viên ở Mỹ . Vấn đề là chúng tôi bị ràng buộc bởi luật pháp không cho phép bất kỳ ai truy cập dữ liệu hoặc máy chủ (không có sự chấp thuận của thẩm phán) và luật sư của chúng tôi nói rằng chính xác yêu cầu này không thể được đáp ứng nếu một số nhân viên từ Mỹ có quyền truy cập vào dữ liệu này: )
dị

4

Tôi chỉ từng được yêu cầu thông tin này khi làm việc với các ngành công nghiệp quy định (ngân hàng) hoặc chính phủ.

Tôi không biết về "định dạng chuẩn", nhưng sau đó tôi luôn được cung cấp một số mẫu mà Khách hàng của tôi đã được kiểm toán viên đưa ra làm "nơi bắt đầu" khi tôi phải thực hiện những mẫu này.

Có lẽ tôi sẽ bắt đầu với một số tìm kiếm của Google và xem những gì tôi có thể tìm thấy theo cách của các tài liệu chính sách mẫu. Sans ( http://www.sans.org ) cũng là một nơi tốt khác để bắt đầu tìm kiếm.

Theo như mức độ chi tiết, tôi có thể nói rằng nó có thể cần phải được điều chỉnh cho phù hợp với đối tượng và mục đích. Tôi sẽ giữ chi tiết cấp cao trừ khi tôi được yêu cầu cung cấp chi tiết cấp thấp.


Tôi đã luôn sử dụng mẫu NIST để nhanh chóng tạo chính sách bảo mật, nhưng tôi không có bản sao nữa và google nhanh chóng không thể tìm thấy bản gốc nữa (tôi nghĩ rằng NIST hiện đã tính phí). Chính phủ California có một số tài nguyên tốt, bao gồm các mẫu, tại oispp.ca.gov/g chính / L Library / samples.asp gợi ý trên của Viện Sans cũng là một tài nguyên tuyệt vời.
hromanko

4

Có một số lý do khác nhau mà một công ty có thể muốn xem chính sách bảo mật của bạn. Một ví dụ là ngành Thẻ thanh toán (Visa, MasterCard, AmEx, v.v.) yêu cầu các công ty xử lý thẻ tín dụng phải tuân thủ Công nghiệp thẻ thanh toán - Tiêu chuẩn bảo mật dữ liệu (PCI-DSS). Một phần của PCI-DSS yêu cầu các đối tác của công ty cũng phải tuân thủ PCI-DSS (tất nhiên cần có chính sách bằng văn bản).

Thành thật mà nói nếu tôi cấp cho bạn quyền truy cập vào mạng của bạn thông qua VPN hoặc kết nối trực tiếp, thì tôi muốn biết rằng bạn có một mức độ bảo mật nhất định, nếu không tôi sẽ tự mở ra tất cả các vấn đề tiềm ẩn.

Đó là lý do tại sao được chứng nhận PCI hoặc ISO 27001 có thể là một lợi ích trong vấn đề này bởi vì bạn có thể cho tổ chức bên ngoài biết rằng bạn có những thứ được xử lý ở một mức độ nhất định. Nếu chính sách của bạn rất chung chung nên là chính sách nào, thì đó có thể không phải là vấn đề để cung cấp bản sao cho đối tác của bạn. Tuy nhiên nếu họ muốn xem các thủ tục cụ thể hoặc thông tin bảo mật thì tôi sẽ không để điều đó rời khỏi trang web của mình.

Kara có một số hướng dẫn tuyệt vời về những gì bạn muốn đề cập trong chính sách của mình. Đây là một ví dụ về chính sách.

Chính sách sao lưu / khôi phục hệ thống IT-001

I. Giới thiệu Phần này nói về cách sao lưu là quan trọng, cách bạn dự định kiểm tra và giữ các bản sao bên ngoài.

II. Mục đích A. Chính sách này sẽ bao gồm tần suất, lưu trữ và khôi phục B. Chính sách này bao gồm dữ liệu, hệ điều hành và phần mềm ứng dụng C. Tất cả các quy trình sao lưu / khôi phục phải được ghi lại và giữ ở nơi an toàn

III. Phạm vi Phần này lưu ý rằng chính sách bao gồm tất cả các máy chủ và tài sản dữ liệu trong công ty của bạn (và bất kỳ khu vực cụ thể nào khác như văn phòng vệ tinh).

IV. Vai trò và trách nhiệm A. Người quản lý - quyết định những gì được sao lưu, xác định tần suất, trung bình và quy trình, cũng kiểm tra xem sao lưu xảy ra B. Quản trị hệ thống - Chạy sao lưu, kiểm tra sao lưu, kiểm tra sao lưu, vận chuyển sao lưu, kiểm tra khôi phục, duy trì vòng quay dự phòng ông / bố / con trai C. Người dùng - Có đầu vào vào những gì được sao lưu, phải đặt dữ liệu vào vị trí được chỉ định để sao lưu

V. Mô tả chính sách Sao lưu - tất cả những điều bạn muốn nói về sao lưu theo nghĩa chung Phục hồi - tất cả những điều bạn muốn nói về phục hồi theo nghĩa chung

Hướng dẫn từng bước cụ thể nên có trong một tài liệu hướng dẫn thủ tục / công việc riêng biệt. Tuy nhiên, nếu bạn có một tổ chức rất nhỏ, bạn có thể không tách rời các chính sách khỏi các thủ tục.

Tôi hy vọng điều này sẽ giúp và cung cấp cho bạn một số thông tin hữu ích.


+1 vì tôi sẽ sẵn sàng đặt cược vào thực tế đó là hợp đồng mà PCI có thể tham gia. (thẻ tín dụng PCI, không phải đầu nối xe buýt cũ). nếu đây là trường hợp, họ không muốn có một thông số đầy đủ, chỉ là những thứ ảnh hưởng đến việc tuân thủ PCI của họ.
Matt

1

Tôi đã phải viết một trong số này gần đây và nó đã không quá khó khăn. Mặc dù, quan điểm về việc may đo rất quan trọng, vì một số chi tiết sẽ mất nhiều công sức hơn để mô tả so với những người khác. NIST cũng có một thư viện lớn các ấn phẩm trực tuyến miễn phí mô tả các biện pháp bảo mật cho các mục đích khác nhau, bạn có thể sử dụng chúng cho các ý tưởng mà bạn không chắc chắn loại / mức độ bảo mật nào được yêu cầu.

Dưới đây là một số danh mục chung để đề cập đến ở cấp độ cao:

  • Chính sách lưu giữ dữ liệu
  • Thủ tục sao lưu / Truy cập vào các bản sao lưu
  • Hạn chế truy cập trong nhà (vật lý và ảo)
    • Mạng (không dây, có dây)
    • Phần cứng (máy chủ, máy trạm, cơ sở văn phòng, ngoài công trường / telework)
    • Trung tâm lưu trữ / dữ liệu (quan trọng nếu bạn đang lưu trữ dữ liệu đối tác)
    • Hệ điều hành
  • Sàng lọc nhân sự

Danh sách này có thể được mở rộng hoặc giảm dựa trên nhiều thông tin cần thiết. Ngoài ra, không cần phải băn khoăn nếu bạn chưa có tất cả những thứ này. Lời khuyên của tôi là hãy bám sát mô tả các chính sách 'dự định' của bạn, nhưng hãy chuẩn bị ngay lập tức mở rộng chúng cho bất cứ điều gì còn thiếu. Ngoài ra, hãy chuẩn bị để được gọi về những gì bạn đang yêu cầu, bất kể điều này khó xảy ra như thế nào (các luật sư sẽ không quan tâm sau này).


1

Tôi sẽ nhận được với tư vấn pháp lý của công ty bạn về điều này để bắt đầu với đặc biệt là vì nó là một phần của hợp đồng.


1

Để giải quyết nhu cầu, bạn phải gửi một bản sao tài liệu chính sách bảo mật của mình sẽ chống lại an ninh. Tôi đã viết chính sách bảo mật của chúng tôi và đã lấy phần lớn Tài liệu từ Mẫu của SAN. Những người khác bạn có thể điền vào các tìm kiếm chính sách cụ thể trên Google. Cách chúng tôi xử lý một bên ngoài muốn xem chính sách là cho phép họ ngồi xuống trong văn phòng Giám đốc điều hành của chúng tôi và cho phép họ đọc nó. Chính sách của chúng tôi là chính sách không bao giờ rời khỏi tòa nhà và cụ thể hơn là tầm nhìn của chúng tôi. Chúng tôi có các thỏa thuận mà bất kỳ bên thứ 3 nào cũng phải đồng ý khi làm việc trong các năng lực cụ thể sẽ yêu cầu quyền truy cập vào thông tin của chúng tôi. Và họ đang trên cơ sở từng trường hợp. Chính sách này có thể không phù hợp với môi trường của bạn cũng như tất cả các chính sách dành cho SAN '


Vui mừng tôi không phải là người duy nhất có kinh nghiệm này.
MathewC

Nó đã được thú vị, nhưng một kinh nghiệm tuyệt vời. Người dùng của tôi có thể không thích tôi nhiều nữa nhưng nếu bạn nhìn nó từ góc độ thống kê. Tôi đã đọc trong eweek hoặc thông tin rằng một nơi nào đó trong khu vực của 70% tất cả các công ty bị vi phạm an ninh không thể phục hồi và trong vòng 2 năm sau khi phát hiện vi phạm đóng cửa.
TechGuyTJ

1

Có phải là thông lệ tiêu chuẩn: kinh nghiệm của tôi là có đối với một số ngành được quy định, như ngân hàng, thực phẩm, năng lượng, v.v.

Có định dạng chuẩn không: có một số tiêu chuẩn, nhưng nếu hợp đồng của bạn không chỉ định tiêu chuẩn (ví dụ ISO) thì bạn nên ký hợp đồng OK để cung cấp bất kỳ định dạng nào bạn chọn.

Nó không phải là khó khăn. Bạn đã có một tiêu chuẩn vá và mật khẩu, vì vậy tài liệu nên chỉ định tiêu chuẩn đó là gì và làm thế nào để bạn đảm bảo rằng nó được tuân theo. Đừng rơi vào cái bẫy dành quá nhiều thời gian để làm cho nó đẹp. Chỉ cần một tài liệu đơn giản là đủ.

Nếu hợp đồng của bạn chỉ định sử dụng một tiêu chuẩn cụ thể thì bạn nên tìm kiếm sự giúp đỡ chuyên nghiệp để đảm bảo rằng bạn tuân thủ hợp đồng.


1

Chúng tôi nhận được câu hỏi này rất nhiều bởi vì chúng tôi là một cơ sở lưu trữ. Điểm mấu chốt là chúng tôi không cung cấp cho nó trừ khi chúng tôi biết chính xác những gì họ đang tìm kiếm trước. Nếu họ đang tìm kiếm thứ gì đó trong chính sách bảo mật của chúng tôi mà chúng tôi không có, thì đó thường là do bản chất kinh doanh của chúng tôi không yêu cầu và chúng tôi nói với họ như vậy. Điều đó có thể chủ quan, nhưng nó không thành vấn đề - chúng tôi chưa mất bất kỳ doanh nghiệp nào vì nó. Thường xuyên hơn không, họ đang hỏi bởi vì họ phải nói với người khác rằng họ đã làm. Câu trả lời 'KHÔNG' không nhất thiết là điều xấu hoặc người phá vỡ thỏa thuận.

Chúng tôi vừa trải qua chứng nhận SAS70 II, vì vậy bây giờ chúng tôi chỉ đưa ra ý kiến ​​của kiểm toán viên và để điều đó nói lên chính sách bằng văn bản của chúng tôi.


0

Bạn sẽ cần một NDA trước khi bạn cho họ thấy bất cứ điều gì. Sau đó, tôi sẽ cho họ đến và xem xét chính sách bảo mật, nhưng không bao giờ có bản sao của chính sách đó.


Tôi sẽ không bỏ phiếu cho bạn, nhưng trong khi tôi sẽ không xuất bản nó, chia sẻ nó với các đối tác kinh doanh không phải là vấn đề. Mặc dù nó không giống nhau ở mọi công ty tôi từng làm việc, bộ phận CNTT của tôi tồn tại cho các nhu cầu kinh doanh hơn bất kỳ công ty nào khác. Tôi tưởng tượng chia sẻ kế hoạch Bảo mật CNTT của chúng tôi giống như chia sẻ quy trình kinh doanh hoặc kế hoạch kinh doanh.
recbot

Tôi đã trải qua tuân thủ SAS70 và nhiều "đối tác" sẽ chỉ cho phép xem xét. Đó là trách nhiệm phải có một cái gì đó in ra nói rằng bạn làm một cái gì đó, và sau đó bạn không, hoặc bạn đã làm một cái gì đó gây ra vấn đề. Tôi xin lỗi bạn không đồng ý, nhưng tôi đã đưa ra ý kiến ​​của tôi từ kinh nghiệm. Tôi không nghĩ rằng nó xứng đáng với một downvote.
MathewC

Chỉ cần rõ ràng tôi đã không bỏ phiếu cho bạn. Không cần điều đó. Trải nghiệm của bạn chính xác là điều tôi thích nghe. Cảm ơn!
recbot

Nếu tôi có đại diện, tôi sẽ bỏ phiếu cho bạn. Họ không cần phải ký NDA chỉ để xem Chính sách bảo mật / Chính sách bảo mật CNTT của bạn. (Có một sự phân biệt giữa chính sách và thủ tục / tiêu chuẩn) Có rất nhiều lý do chính đáng cho cần phải thấy một orgs InfoSec chính sách (Sox tuân thủ, PCI DSS, vv) Hầu hết các tổ chức đã làm cho nó hoàn toàn công cộng: obfs.uillinois.edu /manual/central_p/sec19-5.html
Josh Brower

Đó là một biện pháp phòng ngừa. Nếu bạn không muốn dùng nó để bảo vệ chính mình, thì nó sẽ thuộc về bạn. Tôi đã đưa ra một lý do hợp lệ tại sao bạn không nên làm điều đó. Và tôi xin lỗi bạn không có đại diện bỏ phiếu cho tôi. Tôi muốn bảo lưu phiếu bầu của mình cho các câu trả lời xấu / nguy hiểm, không phải chính sách mà tôi không đồng ý.
MathewC
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.