什麼是 IT 安全政策?
資訊技術 (IT) 安全政策 確定所有個人存取和使用組織 IT 資產和資源的規則和程序。有效的 IT 安全政策是組織文化的典範,其中的規則和程序是由員工對其資訊和工作的態度所驅動。因此,有效的 IT 安全政策對每個組織而言都是獨一無二的文件,是從組織人員對風險容忍度的觀點、他們如何看待及重視資訊,以及他們所維護的資訊可用性所培養出來的。基於這個原因,許多公司會發現模板式的 IT 安全政策並不恰當,因為它沒有考慮到組織人員實際上如何在他們之間以及對公眾使用和分享資訊。
IT 安全政策的目標是保護組織成員所使用的系統和資訊的機密性、完整性和可用性。這三項原則組成了 CIA 三要素:
- 保密性 涉及保護資產不受未經授權實體的侵害
- 完整性 確保以指定和授權的方式處理資產的修改
- 可用性 是授權使用者可以不斷地存取上述資產的系統狀態。
IT 安全政策是一份活文件,會不斷地更新,以適應不斷演進的業務和 IT 需求。國際標準化組織 (ISO) 和美國國家標準與技術研究院 (NIST) 等機構已發佈安全政策形成的標準和最佳實務。根據美國國家研究委員會(NRC)的規定,任何公司政策的規範都應針對以下方面:
- 目標
- 範圍
- 具體目標
- 合規性的責任以及在發生不合規時應採取的行動。
此外,每項 IT 安全政策都必須遵守組織所屬產業的法規。常見的例子包括全球的 PCI 資料安全標準和巴塞爾協定,或是美國的多德-法蘭克華爾街改革法案、消費者保護法案、健康保險可攜性與責任法案,以及金融業監管局。許多這些監管實體本身都需求書面的 IT 安全政策。
組織的安全策略將在其決策與方向上扮演重要角色,但不應改變其策略或使命。因此,在撰寫政策時,必須從組織現有的文化和結構框架中汲取養分,以支持良好生產力和創新的不斷地發展,而不是將其視為妨礙組織及其員工實現使命和目標的通用政策。
