一个合作伙伴想要我们的书面IT安全策略的副本，但我不确定该怎么做[关闭]

我的公司正在与另一家公司合作，作为合同的一部分，他们要求提供我公司书面IT安全政策的副本。我没有书面的IT安全策略，也不确定要给他们什么。我们是一家Microsoft商店。我们具有更新计划，用于管理服务器，防火墙，ssl证书的访问受限帐户，并且我们会不时运行Microsoft Baseline Security Analyzer。

我们配置服务和用户帐户是因为我们认为大多数情况下都是安全可靠的（当您无法完全控制运行的软件时，这很困难），但是我无法深入探讨每一个细节，每个服务和服务器都是不同的。我正在获得有关他们想要的更多信息，但我感觉好像他们正在钓鱼一样。

我的问题是，这是要求提供此信息的标准做法吗？（老实说，我并不反对，但是以前从未发生过。）如果这是标准的，我应该介绍一种标准的格式和期望的详细程度吗？

他们不需要您的整个内部IT策略的副本，但我认为他们可能正在执行类似的操作-肯定有人需要为您提供有关合同的足够信息，以确定您需要提供多少详细信息以及有关内容。我同意约瑟夫（Joseph）的观点-如果他们出于法律/合规原因需要信息，则需要提供法律意见。

背景资料

1）您的任何员工都位于美国以外吗？

2）贵公司是否已制定正式的文件化信息安全政策？

3）您的信息安全策略是否涵盖信息和数据的处理和分类？

4）您所在的州当前是否正在解决任何未解决的法规问题？如果是，请解释。

一般安全

1）您是否有针对员工和承包商的信息安全意识培训计划？

2）您目前使用以下哪种方法来验证和授权对您的系统和应用程序的访问：

• 由操作系统执行
• 由商业产品执行
• 单点登录
• 客户端数字证书
• 其他两因素验证
• 家种
• 没有适当的身份验证机制

3）谁授权员工，承包商，临时工，供应商和业务合作伙伴访问？

4）您是否允许您的员工（包括承包商，临时工，供应商等）远程访问您的网络？

5）您是否有信息安全事件响应计划？如果否，如何处理信息安全事件？

6）您是否有一项针对处理发给公司外部的电子邮件中的内部或机密信息的政策？

7）您是否至少每年审查一次您的信息安全政策和标准？

8）有哪些方法和物理控制措施可以防止未经授权进入您公司的安全区域？

• 上锁房间中的网络服务器
• 对服务器的物理访问受到安全性标识（访问卡，生物识别信息等）的限制
• 视频监控
• 登录日志和过程
• 任何时候都可在安全区域看到安全徽章或身份证
• 保安员
• 没有
• 其他，请提供其他详细信息

9）请描述您在所有环境下的密码策略？就是 长度，强度和老化

10）您是否有灾难恢复（DR）计划？如果是，您多久测试一次？

11）您是否有业务连续性（BC）计划？如果是，您多久测试一次？

12）如果需要，您可以向我们提供测试结果的副本（BC和DR）吗？

体系结构和系统审查

1）[公司]的数据和/或应用程序是否将在专用或共享服务器上存储和/或处理？

2）如果在共享服务器上，如何将[公司]的数据与其他公司的数据分割？

3）将提供哪种类型的公司间连接？

• 互联网
• 专用/专线（例如，T1）
• 拨号
• VPN（虚拟专用网）
• 码头服务
• 没有
• 其他，请提供其他详细信息

4）此网络连接是否被加密？如果是，将使用哪种加密方法？

5）为了使用该解决方案，是否需要任何客户端代码（包括ActiveX或Java代码）？如果是，请描述。

6）您是否具有防火墙来控制对Web服务器的外部网络访问。如果否，此服务器在哪里？

7）您的网络是否包括用于对应用程序进行Internet访问的DMZ？如果否，这些应用程序在哪里？

8）您的组织是否采取措施来确保拒绝服务中断？请描述这些步骤

9）您是否执行以下任何信息安全性检查/测试

• 内部系统/网络扫描
• 内部管理的自我评估和/或尽职调查
• 内部代码审查/同行审查
• 外部第三方渗透测试/研究
• 其他，请提供详细信息这些测试多久执行一次？

10）您的组织内正在积极使用以下哪些信息安全实践

• 访问控制列表
• 数字证书-服务器端
• 数字证书-客户端
• 数字签名
• 基于网络的入侵检测/预防
• 基于主机的入侵检测/预防
• 入侵检测/预防签名文件的计划更新
• 入侵监控24x7
• 连续病毒扫描
• 计划更新病毒库文件
• 渗透研究和/或测试
• 没有

11）您是否有用于强化或保护操作系统的标准？

12）您是否有计划将更新和修补程序应用到您的操作系统？如果没有，请告诉我们您如何确定何时以及何时应用补丁和重要更新

13）为了提供电源或网络故障保护，您是否为关键交易系统维护完全冗余的系统？

Web服务器（如果适用）

1）将用于访问应用程序/数据的URL是什么？

2）Web服务器是什么操作系统？（请提供操作系统名称，版本和Service Pack或补丁程序级别。）

3）什么是Web服务器软件？

应用程序服务器（如果适用）

1）应用服务器是什么操作系统？（请提供操作系统名称，版本和Service Pack或补丁程序级别。）

2）什么是应用服务器软件？

3）您是否正在使用基于角色的访问控制？如果是，如何将访问级别分配给角色？

4）您如何确保适当的授权和职责分离到位？

5）您的应用程序是否采用多级用户访问/安全性？如果是，请提供详细信息。

6）您的应用程序中的活动是否受到第三方系统或服务的监视？如果是，请向我们提供公司和服务名称以及正在监视的信息

数据库服务器（如果适用）

1）数据库服务器是什么操作系统？（请提供操作系统名称，版本和Service Pack或补丁程序级别。）

2）正在使用哪个数据库服务器软件？

3）是否复制了数据库？

4）DB服务器是集群的一部分吗？

5）如何（如果有的话）将[公司]的数据与其他公司隔离？

6）[公司]的数据存储在磁盘上时是否会被加密？如果是，请说明加密方法

7）如何捕获源数据？

8）如何处理数据完整性错误？

审核和记录

1）您是否登录客户访问权限：

• 网络服务器？
• 应用服务器？
• 数据库服务器？

2）是否查看日志？如果是，请说明该过程以及对其进行多长时间审核一次？

3）您是否提供系统和资源来维护和监视审核日志和事务日志？如果是，您将保留哪些日志以及将其存储多长时间？

4）您是否允许[公司]查看与我们公司有关的系统日志？

隐私

1）不再需要用于解密/删除/丢弃[公司]数据的过程和程序是什么？

2）您是否在任何时候错误或意外泄露了客户信息？
如果是，自那以来您实施了哪些纠正措施？

3）承包商（非雇员）是否可以访问敏感或机密信息？如果是，他们是否签署了保密协议？

4）您是否拥有被授权访问和维护您的网络，系统或应用程序的供应商？如果是，这些供应商是否根据书面合同提供了保密性，背景调查以及防止损失的保险/赔偿？

5）您的数据如何分类和保护？

运作方式

1）备份的频率和级别是多少？

2）备份的现场保留期是多少？

3）您的备份以什么格式存储？

4）您是否将备份存储在异地位置？如果是，保留期限是多少？

5）您是否加密数据备份？

6）如何确保仅执行有效的生产程序？

在与受监管的行业（银行）或政府合作时，仅要求我提供此信息。

我本质上还不知道“标准格式”，但是当我不得不做这些模板时，我总是得到一些模板，这些模板是由审核员给我的客户提供的“起点”。

我可能会先从一些Google搜索开始，然后看看我可以从样本策略文档中找到什么。SANS（http://www.sans.org）也是另一个开始寻找的好地方。

就细节程度而言，我想说它可能需要针对受众和目标进行量身定制。除非特别要求我提供低级详细信息，否则我将保留高级详细信息。

公司可能希望查看您的安全策略有多种不同的原因。一个例子是支付卡行业（Visa，MasterCard，AmEx等）要求处理信用卡的公司必须遵守支付卡行业-数据安全标准（PCI-DSS）。PCI-DSS的一部分要求公司的合作伙伴也必须遵守PCI-DSS（这当然需要书面政策）。

坦白说，如果我授予您通过VPN或直接连接访问网络的权限，那么我想知道您具有一定的安全级别，否则我将面临各种潜在问题。

因此，通过PCI或ISO 27001认证可以在这方面带来好处，因为您可以让外部组织知道您已将事情处理到一定水平。如果您的策略非常笼统，应该选择哪个策略，那么向您的合作伙伴提供副本可能就不是问题。但是，如果他们想查看特定的过程或安全信息，那么我不会让它离开我的网站。

Kara对于您要在政策中涵盖的内容提供了一些出色的指导。这是政策的示例。

IT-001系统备份/恢复策略

I.简介 本节讨论备份的重要性，如何计划测试并保持副本不在现场。

二。目的 A.此策略将涵盖频率，存储和恢复B.此策略将涵盖数据，操作系统和应用软件C.所有备份/恢复过程都必须记录在案，并放在安全的地方

三，范围 本节指出，该策略涵盖了公司（以及其他任何特定区域，如卫星办公室）中的所有服务器和数据资产。

IV。角色和职责 A.经理-确定要备份的内容，确定频率，媒介和过程，还检查备份是否发生B.系统管理员-运行备份，检查备份，测试备份，传输备份，测试还原，维护备份轮换的祖父/父亲/儿子C。用户-已备份的内容已输入，必须将数据放置在指定要备份的位置

V.策略描述 备份-关于备份的所有您想说的东西恢复-关于备份的所有您想说的东西

具体的逐步说明应在单独的程序/工作说明文档中。但是，如果您的组织非常小，则可能无法将策略与过程分开。

希望对您有所帮助，并为您提供一些有用的信息。

我最近不得不写其中一篇，但最终并没有太困难。当然，Even关于剪裁的观点很重要，因为某些细节比其他细节需要更多的工作来描述。NIST还拥有一个免费的在线大型出版物库，这些出版物描述了出于各种目的的安全措施，如果您不确定需要哪种类型的安全性，可以将其用于一些想法。

不过，以下是一些高级类别的一般类别：

• 资料保留政策
• 备份步骤/访问备份
• 内部访问限制（物理和虚拟）
  • 网络（无线，有线）
  • 硬件（服务器，工作站，办公场所，异地/远程办公）
  • 托管/数据中心（如果要存储合作伙伴数据，则很重要）
  • 操作系统
• 人员筛选

现在可以根据需要增加或减少此列表。另外，如果您还没有准备好所有这些，则无需担心。我的建议是坚持描述您的“预期”政策，但要准备立即针对所有不足进行扩展。也要准备好就您所要求的内容打电话，无论这种情况发生的可能性如何（律师以后都不会在意）。

首先，我会请贵公司的法律顾问提供帮助，因为这是合同的一部分。

为了满足此需求，您必须发送一份安全策略文档副本，这有点违反安全性。我已经编写了我们的安全策略，并从SAN的模板中提取了大多数文档。您可以在Google上通过其他特定政策搜索来填写其他信息。我们与希望查看政策的外部人士打交道的方式是让他们坐在我们的运营总监办公室中，并允许他们阅读该政策。我们的政策是，政策永远不会离开建筑物，更具体地说，是我们的视野。我们确实达成任何第三方以特定身份工作时都必须同意的协议，这需要访问我们的信息。而且它们是逐案的。该策略可能不适合您的环境，SAN上的所有策略也可能不适合

这是标准做法吗？我的经验是，对于某些受监管的行业，例如银行，食品，能源等，是的。

是否有标准格式：有很多标准，但是如果您的合同未指定标准（例如ISO），则您应通过合同确定可以提供您选择的任何格式。

应该不难。您已经有一个修补程序和密码标准，因此文档应指定该标准是什么以及如何确保遵循该标准。不要陷入花费太多时间使其变得漂亮的陷阱。只需一个简单的文档即可。

如果您的合同指定使用特定标准，则应寻求专业帮助以确保您符合合同规定。

因为我们是托管设备，所以我们经常收到这个问题。最重要的是，除非我们事先确切知道他们在寻找什么，否则我们不会给出答案。如果他们正在我们的安全策略中寻找我们没有的东西，那通常是因为我们的业务性质不需要它，所以我们告诉他们。那可以是主观的，但是没关系-我们还没有因此而失去任何业务。他们经常问，因为他们必须告诉别人他们做了。“不”的答案不一定是一件坏事，也不会破坏交易。

我们刚刚通过SAS70 II认证，所以现在我们只给审计师意见书，并以此作为我们书面政策的依据。

向您展示任何内容之前，您需要先获得NDA。然后，我会让他们来审查安全策略，但是永远不要复制它。