1.4 安全实践与文档


文档摘要

安全实践与文档 你可能以前听说过“安全政策”、“安全标准”等术语,但现实是许多网络安全专业人员并没有正确使用它们。因此,在本节中,我们将解释这些术语的含义以及为什么组织会使用它们。 观看视频 引言 在本课程中,我们将涵盖以下内容: 什么是安全政策? 什么是安全标准? 什么是安全基线? 什么是安全指南? 什么是安全程序? 在网络安全背景下,法律和法规是什么? 这些术语通常用于定义组织内部不同层次的安全文档和实践。让我们逐一澄清这些术语: 什么是安全政策? 安全政策是一份高层次文件,概述了组织的整体安全目标、原则和指导方针。它为与安全相关的决策提供了一个框架,并设定了组织安全态势的基调。安全政策通常涵盖资源的合理使用、数据保护、访问控制、事件响应等内容。安全政策是解决方案和技术无关的。

安全实践与文档

你可能以前听说过“安全政策”、“安全标准”等术语,但现实是许多网络安全专业人员并没有正确使用它们。因此,在本节中,我们将解释这些术语的含义以及为什么组织会使用它们。

观看视频

引言

在本课程中,我们将涵盖以下内容:

  • 什么是安全政策?

  • 什么是安全标准?

  • 什么是安全基线?

  • 什么是安全指南?

  • 什么是安全程序?

  • 在网络安全背景下,法律和法规是什么?

这些术语通常用于定义组织内部不同层次的安全文档和实践。让我们逐一澄清这些术语:

什么是安全政策?

安全政策是一份高层次文件,概述了组织的整体安全目标、原则和指导方针。它为与安全相关的决策提供了一个框架,并设定了组织安全态势的基调。安全政策通常涵盖资源的合理使用、数据保护、访问控制、事件响应等内容。安全政策是解决方案和技术无关的。许多人熟悉的典型安全政策例子是组织的合理使用政策。

什么是安全标准?

安全标准是一份更详细和具体的文件,提供了实施安全控制和措施的具体指南和要求。标准比政策更具体和技术化,提供了配置和维护系统、网络和流程以满足安全目标的具体指示和建议。例如,“所有内部数据必须在静止状态和传输过程中加密”。

什么是安全基线?

安全基线是一组被认为是特定系统、应用程序或环境在某个时间点所必需的最低安全配置。它定义了应在所有相关实例中实现的安全起点。安全基线有助于确保整个组织IT基础设施的一致性和一定水平的安全性。例如,“Azure虚拟机不能直接连接到互联网”。

什么是安全指南?

安全指南是一份提供推荐和指导的文件,当特定的安全标准不适用时可以参考。指南试图处理标准未覆盖或仅部分覆盖的问题所产生的“灰色地带”。

什么是安全程序?

安全程序是一份详细的分步指南,概述了执行安全相关过程或任务所需的具体行动和任务。程序是实用且可操作的文件,提供了在事件响应、系统维护、用户入职和其他安全相关活动中应遵循的明确行动顺序。例如,“当Microsoft Sentinel生成P1安全事件时,安全运营中心(SOC)必须立即通知值班安全经理并发送事件详情”。

总之,这些术语代表了组织网络安全框架内不同层次的文档和指导。安全政策设定高层次的目标,标准提供详细的要求,基线建立最低安全配置,指南提供最佳实践,程序则提供安全过程的实际步骤。

在网络安全背景下,法律/法规是什么?

法律和法规是指政府和监管机构制定的法律框架,用以定义和强制执行保护数字系统、数据和信息的安全规则、标准和要求。这些法律和法规因司法管辖区而异,重点关注网络安全的不同方面,包括数据保护、隐私、事件报告以及关键基础设施的安全。以下是几个网络安全相关法律和法规的例子:例如《通用数据保护条例》(GDPR)、《健康保险可移植性和责任法案》(HIPAA)、《加州消费者隐私法》(CCPA)、《支付卡行业数据安全标准》(PCI DSS)。

进一步阅读

SANS研究所的信息安全策略模板

NIST关于网络安全和隐私法律合规资源

声明:
本文件灏天文库团队进行了翻译。尽管我们力求准确,但请注意,翻译可能包含错误或不准确之处。原文档以其原始语言为准。我们不对因使用此翻译而产生的任何误解或误译负责。


发布者: 作者: 转发
评论区 (0)
U