セキュリティポリシーを計画するための3つのステップ

多くの企業がセキュリティ上の問題を通知して、その後すぐに穴を埋めるための技術ソリューションを探してすることが一般的です。彼らは効率的に会社の資産を確保しないソリューションを豊富に持っている理由は最後に、企業が不思議。計画が必要になるところです。

計画の重要性

セキュリティポリシーを計画する別のジョブの役割で従業員の行動の綿密な分析を必要とし、また企業のセキュリティ目標は、関節であるための時間です。同時に評価の問題と目標を持つことが容易に効果的なすべての有利になるすべての包括的なソリューションを考え出すようになります。セキュリティポリシーを計画するときに親指の良いルールではなく技術よりもリスクが周りにポリシーをベースにすることです。ポリシーは、技術の変化に応じて変更する必要はありません。（1）

計画段階では、従業員の行動に焦点を当てて、この問題に対処するのに役立ちます。ポリシーの変更は頻繁にプロシージャ内で変更が始まるので、これは非常に重要です。 "組織は、人に基づいて行われるために必要な情報のセキュリティとプライバシーの仕事の多くが理解しておく必要があります[に関する]ポリシー、手順、訓練、啓発[と]対応活動。"（2）

セキュリティポリシーを計画

ポリシーを計画するとき心に留めておくべき3つの要因があります。最初に、あなたの政策の目標を表現する必要があります。あなたは何を達成しようとしていますか？あなたは何を保護しようとしていますか？第二段階では、作業環境をスキャンし、現在のプロセス内に存在する脆弱性を特定する必要があります。最後のステップでは、欠陥を軽減する行動計画を作成することが求​​められます。すべての成功を計画に等しい貢献者である。

手順1：セキュリティポリシーの設定目標

セキュリティポリシーの目標は、あなたの会社のために設定した目標と並行して実行する必要があります。たとえば、あなたの会社が顧客志向であれば、セキュリティポリシーの目的は、暗号化とネットワークセキュリティを使用して、顧客とそのデータを保護する必要があります。

さらに、すべての当事者は、目標設定に重要な役割を果たすべきである。セキュリティ違反が発生した場合、各部門は、政策改善のための再評価の手順で回復プロセスで異なる役割を果たしているだけでなく、これは非常に重要です。グローバルな関与は、各部門の時間が時間がポリシーを実装するために来るときの協力のより高いレベルを確保し、政策に投資することができます。

ステップ2：セキュリティの脆弱性を識別

同社は、既存の手順を調べ、セキュリティ上のリスクをもたらすすべてのプロセスを識別する必要があります。たとえば、データ管理に関する政策は、どのようにデータは、それが保持​​され、データの削除のための適切な方法は、企業の世界で一般的な痛みです。されて​​どのくらいの期間、保管中に保護されています。そのような脆弱性の識別に役立つかもしれないいくつかの質問が含まれます：あなたの会社はどのような機密情報の種類を処理しますか？
どの部門では、機密情報の各部分を処理する？
非機密情報を格納されている機密情報は何ですか？

このような質問は、変更が部門内で現在のプロセスに伴うリスクを軽減することを開始するために行われるために必要なもののようないくつかの考えに拍車をかける必要があります。

ステップ3：行動計画を作成する

プロセスが変更を必要とする特定した後、これらのリスクを軽減するための行動計画を作成します。各プランは、それぞれの変更が発生するためにそれにかかる時間を検討する必要があり、トレーニングの種類は、個々の/部門（つまりどのくらいの頻度で責任を負うことができるものの責任も新たに採用した基準を満たすために、各個人/部門の必要があるとセキュリティに関するギャップ分析（3）を実施し、誰がそれらを行っていますか？）

他の課題は、予算の制限が含まれていても、監査基準を遵守しつつ、セキュリティ対策に最適化します。このような措置 "は、監査が容易にポリシーが適用されていることを確認できるように、一つの文書から別のものにトレーサブルでなければなりません。"（4）技術·ソリューションは、さまざまな製品を比較するオプションである場合に役立つかもしれません。

手順が確立された後に、意思決定者を識別することができるはず "の役割は活動はログインする必要があり活動は、[と]どのくらいの頻度で検査やレビューは、内部的に行われているために責任のある者。"（5）また、持っている必要があります将来的にポリシーに追加の変更を行うための手順とフォローアップ。

レスキューへのセキュリティポリシー

セキュリティポリシーは、災害に直面してからビジネスを防止するために必要な要素です。十分な時間と内在化を確保するためのトレーニング（6） "情報セキュリティとプライバシーは、バンドエイド、アドオンすることができない製品やシステムが起動された後、それはすべての人員の考え方に組み込まれなければならない"。

今すぐあなたのセキュリティポリシーを計画していること、それは、政策実施のための時間です。あなたが行動にセキュリティポリシーを入れてみてください前に、いくつかの実装上のヒントを得るためにセキュリティポリシーを実装[http://www.essentialsecurity.com/news_business.htm?id=1383]をお読みください。