একজন অংশীদার আমাদের লিখিত তথ্য সুরক্ষা নীতিটির একটি অনুলিপি চান এবং আমি কী করব তা নিশ্চিত নই [বন্ধ]

23

আমার সংস্থা অন্য সংস্থার সাথে কাজ করছে এবং চুক্তির অংশ হিসাবে তারা আমার সংস্থার লিখিত আইটি সুরক্ষা নীতিটির একটি অনুলিপি অনুরোধ করছে। আমার কাছে কোনও লিখিত তথ্য সুরক্ষা নীতি নেই এবং আমি তাদেরকে কী দিতে চাই তা আমি ঠিক নিশ্চিত নই। আমরা মাইক্রোসফ্টের দোকান're সার্ভারগুলি, ফায়ারওয়ালগুলি, এসএসএল শংসাপত্রগুলি পরিচালনা করতে আমাদের কাছে আপডেট শিডিউল, সীমিত অ্যাক্সেস অ্যাকাউন্ট রয়েছে এবং আমরা সময়ে সময়ে মাইক্রোসফ্ট বেসলাইন সুরক্ষা বিশ্লেষক পরিচালনা করি।

আমরা পরিষেবাগুলি এবং ব্যবহারকারীর অ্যাকাউন্টগুলি কনফিগার করে থাকি যেহেতু আমাদের মনে হয় বেশিরভাগ নিরাপদ এবং সুরক্ষিত (যখন আপনি কী সফ্টওয়্যারটি চালান তার উপরে আপনার সম্পূর্ণ নিয়ন্ত্রণ থাকে না) তবে আমি প্রতিটি বিবরণে যেতে পারি না, প্রতিটি পরিষেবা এবং সার্ভার আলাদা। তারা কী চায় সে সম্পর্কে আমি আরও তথ্য পাচ্ছি তবে আমার মনে হচ্ছে তারা কোনও ফিশিং অভিযানে চলেছে।

আমার প্রশ্নগুলি হ'ল, এই তথ্যের জন্য জিজ্ঞাসা করা কি কোনও আদর্শ অনুশীলন? (আমি সত্যই এর বিরুদ্ধেই নই, তবে এর আগে এর আগে কখনও ঘটেনি)) এবং যদি এটি স্ট্যান্ডার্ড হয় তবে আমার কাছে একটি স্ট্যান্ডার্ড ফর্ম্যাট এবং প্রত্যাশিত স্তরের বিশদটি উপস্থাপন করা উচিত?

best-practices 
reconbot
সূত্র
1
দেখা যাচ্ছে যে আমরা সি-টিপ্যাট শংসাপত্রের জন্য আবেদন করছি। আমাদের কেবল দুটি জিনিস মেনে চলা দরকার। 1) পাসওয়ার্ড সুরক্ষা 2) দায়বদ্ধতা ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/... ) ভাল উত্তর আশ্চর্যজনক পরিমাণ এখানে আমার চিন্তা যদিও, আমি একটি আনুষ্ঠানিক পরিকল্পনা আছে জন্য একটি প্রকল্প শুরু করেছি পেয়েছি আপনার প্রচুর পরামর্শ ব্যবহার করে, শংসাপত্রের জন্য নয়, নিজের জন্য।
পুনঃনির্মাণ করুন
এই প্রশ্নটি বর্তমান সাময়িক নিয়মের অধীন বিষয়বস্তু।
আশাহীন N00b

উত্তর:

44

তাদের আপনার সম্পূর্ণ অভ্যন্তরীণ আইটি নীতিের অনুলিপিটির প্রয়োজন নেই তবে আমি মনে করি তারা এর মতো কিছু হওয়ার পরেও হতে পারে - আপনাকে কতটা বিশদ সরবরাহ করতে হবে এবং কী প্রয়োজন তা নির্ধারণ করার জন্য কারও কাছে অবশ্যই আপনাকে চুক্তি সম্পর্কে পর্যাপ্ত তথ্য পাওয়া দরকার। থো আমি জোসেফের সাথে একমত - যদি তাদের আইনী / আনুগত্যের কারণে তথ্যের প্রয়োজন হয় তবে আইনী ইনপুট থাকা দরকার।

পেছনের তথ্য

1) আপনার কর্মচারীদের কেউ মার্কিন বাহিরে অবস্থিত?

২) আপনার সংস্থা কি তথ্য সুরক্ষা নীতিগুলি আনুষ্ঠানিকভাবে এবং নথিভুক্ত করেছে?

3) আপনার তথ্য সুরক্ষা নীতি দ্বারা তথ্য এবং তথ্য হ্যান্ডলিং এবং শ্রেণিবদ্ধকরণ হয়?

৪) আপনি যে রাজ্য (গুলি) পরিচালনা করছেন সেখানে বর্তমানে কোনও অসামান্য নিয়ন্ত্রক সমস্যা রয়েছে যা আপনি সম্বোধন করছেন? যদি হাঁ, তবে দয়া করে ব্যাখ্যা করুন.

সাধারণ সুরক্ষা

1) কর্মচারী এবং ঠিকাদারদের জন্য আপনার কাছে কোনও তথ্য সুরক্ষা সচেতনতা প্রশিক্ষণ প্রোগ্রাম রয়েছে?

2) আপনি বর্তমানে আপনার সিস্টেম এবং অ্যাপ্লিকেশনগুলিতে অ্যাক্সেস প্রমাণীকরণ ও অনুমোদনের জন্য নিম্নলিখিত কোন পদ্ধতিটি ব্যবহার করেছেন:

  • অপারেটিং সিস্টেম দ্বারা সঞ্চালিত
  • বাণিজ্যিক পণ্য দ্বারা সম্পাদিত
  • একক সাইন
  • ক্লায়েন্ট-সাইড ডিজিটাল শংসাপত্র
  • অন্যান্য দ্বি-ফ্যাক্টর প্রমাণীকরণ
  • বাসা বাড়ছে
  • জায়গায় কোনও প্রমাণীকরণের ব্যবস্থা নেই

3) কর্মচারী, ঠিকাদার, টেম্পস, বিক্রেতাদের এবং ব্যবসায়িক অংশীদারদের জন্য অ্যাক্সেস কে অনুমোদিত করে?

৪) আপনি কি আপনার কর্মীদের (ঠিকাদার, টেম্পস, বিক্রেতারা, ইত্যাদি সহ) আপনার নেটওয়ার্কগুলিতে দূরবর্তী অ্যাক্সেসের অনুমতি দিচ্ছেন?

5) আপনার কাছে কোনও তথ্য সুরক্ষা ঘটনার প্রতিক্রিয়া পরিকল্পনা রয়েছে? যদি না হয় তবে কীভাবে তথ্য সুরক্ষা ঘটনাগুলি পরিচালনা করা হয়?

)) আপনার কী এমন নীতি আছে যা আপনার কোম্পানির বাইরের ইমেল বার্তাগুলিতে অভ্যন্তরীণ বা গোপনীয় তথ্য হ্যান্ডলিংয়ের উদ্দেশ্যে সম্বোধন করে?

7) আপনি কি কমপক্ষে বার্ষিক আপনার তথ্য সুরক্ষা নীতি এবং মান পর্যালোচনা করেন?

8) আপনার কোম্পানির সুরক্ষিত অঞ্চলে অননুমোদিত অ্যাক্সেস রোধ করতে কোন পদ্ধতি এবং শারীরিক নিয়ন্ত্রণগুলি রয়েছে?

  • লক রুমগুলিতে নেটওয়ার্ক সার্ভার
  • সুরক্ষা সনাক্তকরণ (অ্যাক্সেস কার্ড, বায়োমেট্রিকস ইত্যাদি) দ্বারা সার্ভারগুলিতে শারীরিক অ্যাক্সেস সীমিত
  • ভিডিও পর্যবেক্ষণ
  • সাইন ইন লগ এবং পদ্ধতি
  • সুরক্ষিত অঞ্চলে সুরক্ষিত ব্যাজ বা আইডি কার্ড সর্বদা দৃশ্যমান
  • নিরাপত্তারক্ষী
  • না
  • অন্যান্য, দয়া করে অতিরিক্ত বিশদ সরবরাহ করুন

9) দয়া করে সমস্ত পরিবেশের জন্য আপনার পাসওয়ার্ড নীতি বর্ণনা করুন? অর্থাৎ। দৈর্ঘ্য, শক্তি এবং বার্ধক্য

10) আপনার কি দুর্যোগ পুনরুদ্ধারের পরিকল্পনা রয়েছে (ডিআর)? যদি হ্যাঁ, আপনি কতবার এটি পরীক্ষা করেন?

১১) আপনার কি বিজনেস কন্টিনিউটি (বিসি) পরিকল্পনা আছে? যদি হ্যাঁ, আপনি কতবার এটি পরীক্ষা করেন?

12) আপনি যদি আমাদের পরীক্ষার ফলাফলের একটি অনুলিপি প্রদান করেন (বিসি এবং ডিআর) অনুরোধ করা হয়?

আর্কিটেকচার এবং সিস্টেম পর্যালোচনা

1) [সংস্থার] ডেটা এবং / অথবা অ্যাপ্লিকেশনগুলি কোনও ডেডিকেটেড বা শেয়ার্ড সার্ভারে সঞ্চয় এবং / বা প্রক্রিয়াজাত করা হবে?

২) যদি কোনও শেয়ার্ড সার্ভারে থাকে তবে [সংস্থার] ডেটা অন্য সংস্থার ডেটা থেকে কীভাবে ভাগ করা হবে?

3) সংস্থার সাথে সংযোগের কী ধরণের সংস্থাগুলি সরবরাহ করা হবে?

  • ইন্টারনেটের
  • ব্যক্তিগত / লিজড লাইন (যেমন, টি 1)
  • ডায়াল-আপ
  • ভিপিএন (ভার্চুয়াল প্রাইভেট নেটওয়ার্ক)
  • টার্মিনাল পরিষেবা
  • না
  • অন্যান্য, দয়া করে অতিরিক্ত বিশদ সরবরাহ করুন

4) এই নেটওয়ার্ক সংযোগটি এনক্রিপ্ট করা হবে? যদি হ্যাঁ, তবে এনক্রিপশনের কোন পদ্ধতি ব্যবহার করা হবে?

5) সমাধানটি ব্যবহারের জন্য কি কোনও ক্লায়েন্ট-সাইড কোড (অ্যাক্টিভএক্স বা জাভা কোড সহ) প্রয়োজন? যদি হ্যাঁ, দয়া করে বর্ণনা করুন।

)) আপনার নিজের ওয়েব সার্ভার (গুলি) এ বাহ্যিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণ করতে ফায়ারওয়াল (গুলি) রয়েছে কি? যদি না হয় তবে এই সার্ভারটি কোথায় অবস্থিত?

)) আপনার নেটওয়ার্কগুলিতে অ্যাপ্লিকেশনগুলিতে ইন্টারনেট অ্যাক্সেসের জন্য কোনও ডিএমজেড অন্তর্ভুক্ত রয়েছে? যদি না হয় তবে এই অ্যাপ্লিকেশনগুলি কোথায় অবস্থিত?

8) আপনার সংস্থা অস্বীকৃত-পরিষেবা বিঘ্নের বিরুদ্ধে নিশ্চিত করার পদক্ষেপ গ্রহণ করে? দয়া করে এই পদক্ষেপগুলি বর্ণনা করুন

9) আপনি নিম্নলিখিত তথ্য সুরক্ষা পর্যালোচনা / পরীক্ষা সম্পাদন করেন?

  • অভ্যন্তরীণ সিস্টেম / নেটওয়ার্ক স্ক্যান
  • অভ্যন্তরীণভাবে পরিচালিত স্ব মূল্যায়ন এবং / অথবা কারণে অধ্যবসায় পর্যালোচনা
  • অভ্যন্তরীণ কোড পর্যালোচনা / পিয়ার পর্যালোচনা
  • বাহ্যিক তৃতীয় পক্ষের অনুপ্রবেশ পরীক্ষা / অধ্যয়ন
  • অন্যান্য, দয়া করে বিশদ সরবরাহ করুন এই পরীক্ষাগুলি কত ঘন ঘন সঞ্চালিত হয়?

10) নিম্নলিখিত তথ্যগুলির মধ্যে সুরক্ষা অনুশীলনগুলির মধ্যে কোনটি আপনার সংস্থার মধ্যে সক্রিয়ভাবে ব্যবহৃত হচ্ছে

  • অ্যাক্সেস নিয়ন্ত্রণ তালিকাগুলি
  • ডিজিটাল শংসাপত্র - সার্ভার সাইড
  • ডিজিটাল শংসাপত্র - ক্লায়েন্ট সাইড
  • ডিজিটাল স্বাক্ষর
  • নেটওয়ার্ক ভিত্তিক অনুপ্রবেশ সনাক্তকরণ / প্রতিরোধ
  • হোস্ট ভিত্তিক অনুপ্রবেশ সনাক্তকরণ / প্রতিরোধ
  • অনুপ্রবেশ সনাক্তকরণ / প্রতিরোধের স্বাক্ষর ফাইলগুলিতে নির্ধারিত আপডেট
  • অনুপ্রবেশ 24x7 নিরীক্ষণ
  • অবিরাম ভাইরাস স্ক্যানিং
  • ভাইরাস সিগনেচার ফাইলগুলিতে নির্ধারিত আপডেট
  • অনুপ্রবেশ অধ্যয়ন এবং / অথবা পরীক্ষা
  • না

১১) আপনার অপারেটিং সিস্টেমগুলিকে শক্ত করতে বা সুরক্ষিত করার জন্য আপনার কি মান রয়েছে?

12) আপনার অপারেটিং সিস্টেমগুলিতে আপডেট এবং হট ফিক্স প্রয়োগ করার জন্য আপনার কি শিডিউল রয়েছে? যদি না হয় তবে দয়া করে কী এবং কখন কী প্যাচগুলি এবং সমালোচনামূলক আপডেটগুলি প্রয়োগ করবেন তা নির্ধারণ করুন

13) কোনও শক্তি বা নেটওয়ার্ক ব্যর্থতা থেকে সুরক্ষা দেওয়ার জন্য, আপনি কি আপনার মূল লেনদেনের সিস্টেমগুলির জন্য পুরোপুরি নিরর্থক সিস্টেমগুলি বজায় রাখছেন?

ওয়েব সার্ভার (প্রযোজ্য ক্ষেত্রে)

1) অ্যাপ্লিকেশন / ডেটা অ্যাক্সেস করতে ব্যবহৃত ইউআরএল কী?

2) ওয়েব সার্ভারটি কোন অপারেটিং সিস্টেম (গুলি)? (দয়া করে ওএসের নাম, সংস্করণ এবং পরিষেবা প্যাক বা প্যাচ স্তর সরবরাহ করুন))

3) ওয়েব সার্ভার সফ্টওয়্যার কি?

অ্যাপ্লিকেশন সার্ভার (প্রযোজ্য ক্ষেত্রে)

1) অ্যাপ্লিকেশন সার্ভারটি কোন অপারেটিং সিস্টেম (গুলি)? (দয়া করে ওএসের নাম, সংস্করণ এবং পরিষেবা প্যাক বা প্যাচ স্তর সরবরাহ করুন))

2) অ্যাপ্লিকেশন সার্ভার সফ্টওয়্যার কি?

3) আপনি কি ভূমিকা ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ ব্যবহার করছেন? যদি হ্যাঁ, অ্যাক্সেসের স্তরগুলি কীভাবে ভূমিকার জন্য নিযুক্ত করা হয়?

৪) আপনি কীভাবে নিশ্চিত করতে পারেন যে যথাযথ অনুমোদন এবং দায়িত্বের বিভাজন রয়েছে?

৫) আপনার অ্যাপ্লিকেশনটি কি বহু-স্তরের ব্যবহারকারীর অ্যাক্সেস / সুরক্ষা ব্যবহার করে? হ্যাঁ, বিবরণ প্রদান করুন।

)) আপনার আবেদনের ক্রিয়াকলাপ কি তৃতীয় পক্ষের সিস্টেম বা পরিষেবা দ্বারা তদারকি করা হচ্ছে? যদি হ্যাঁ তবে আমাদের সংস্থা এবং পরিষেবার নাম এবং কী তথ্য পর্যবেক্ষণ করা হচ্ছে তা সরবরাহ করুন

ডাটাবেস সার্ভার (প্রযোজ্য ক্ষেত্রে)

1) ডাটাবেস সার্ভার (গুলি) কোন অপারেটিং সিস্টেম (গুলি)? (দয়া করে ওএসের নাম, সংস্করণ এবং পরিষেবা প্যাক বা প্যাচ স্তর সরবরাহ করুন))

2) কোন ডাটাবেস সার্ভার সফ্টওয়্যার ব্যবহার করা হচ্ছে?

3) ডিবি প্রতিলিপি করা হয়?

4) ডিবি সার্ভারটি একটি গুচ্ছের অংশ?

5) [সংস্থার] এর ডেটা অন্য সংস্থার কাছ থেকে আলাদা করার জন্য (যদি কিছু থাকে) কী করা হয়?

)) ডিস্কে সঞ্চিত অবস্থায় [সংস্থার] ডেটা কি এনক্রিপ্ট করা হবে? যদি হ্যাঁ, দয়া করে এনক্রিপশন পদ্ধতিটি বর্ণনা করুন

)) উত্স ডেটা কীভাবে ধরা হয়?

8) ডেটা অখণ্ডতার ত্রুটিগুলি কীভাবে পরিচালনা করা হয়?

নিরীক্ষণ এবং লগিং

1) আপনি কি গ্রাহক অ্যাক্সেস লগ ইন:

  • ওয়েব সার্ভার?
  • অ্যাপ্লিকেশন সার্ভার?
  • ডাটাবেস সার্ভার?

2) লগগুলি পর্যালোচনা করা হয়? যদি হ্যাঁ, দয়া করে প্রক্রিয়াটি ব্যাখ্যা করুন এবং কতবার তাদের পর্যালোচনা করা হয়?

3) আপনি নিরীক্ষণ লগ এবং লেনদেন লগগুলি বজায় রাখতে এবং নিরীক্ষণের জন্য সিস্টেম এবং সংস্থান সরবরাহ করেন? যদি হ্যাঁ, আপনি কোন লগগুলি ধরে রাখবেন এবং আপনি কতক্ষণ সেগুলি সঞ্চয় করেন?

৪) আপনি কি [কোম্পানী] আপনার সিস্টেম লগগুলি আমাদের সংস্থার মতো পর্যালোচনা করার অনুমতি দেবেন?

গোপনীয়তা

1) যখন আর প্রয়োজন হয় না তখন [সংস্থার] ডেটা ডেস্লাসাইফাই / মুছে ফেলার / বাতিল করার জন্য কী কী প্রক্রিয়া এবং পদ্ধতিগুলি ব্যবহার করা হয়?

২) আপনি কি ভুল সময়ে বা দুর্ঘটনাক্রমে গ্রাহকের তথ্য প্রকাশ করেছেন?
যদি হ্যাঁ, তবে আপনি কোন সংশোধনমূলক পদক্ষেপগুলি কার্যকর করেছেন?

3) ঠিকাদার (অ-কর্মচারী) সংবেদনশীল বা গোপনীয় তথ্যে অ্যাক্সেস পেয়েছে? যদি হ্যাঁ, তারা কি কোনও প্রকাশ-ছাড়াই চুক্তিতে স্বাক্ষর করেছেন?

৪) আপনার কি এমন বিক্রেতারা আছেন যা আপনার নেটওয়ার্ক, সিস্টেম বা অ্যাপ্লিকেশনগুলিকে অ্যাক্সেস এবং রক্ষণাবেক্ষণের জন্য অনুমোদিত? যদি হ্যাঁ, তবে এই বিক্রেতারা কি লিখিত চুক্তির আওতায় গোপনীয়তা, পটভূমি চেক এবং ক্ষতির বিরুদ্ধে বীমা / ক্ষতিপূরণ প্রদান করে?

৫) আপনার ডেটাটি কীভাবে শ্রেণিবদ্ধ ও সুরক্ষিত হয়?

অপারেশনস

1) আপনার ব্যাক-আপগুলির ফ্রিকোয়েন্সি এবং স্তর কী?

2) ব্যাক-আপগুলির অনসাইটসাইট ধরে রাখার সময়কালটি কী?

3) আপনার ব্যাকআপগুলি কোন ফর্ম্যাটে সঞ্চিত আছে?

4) আপনি কি কোনও অফ-সাইট লোকেশনে ব্যাকআপ সঞ্চয় করেন? যদি হ্যাঁ, ধরে রাখার সময়কালটি কী?

5) আপনি কি আপনার ডেটা ব্যাকআপ এনক্রিপ্ট করবেন?

)) আপনি কীভাবে নিশ্চিত করতে পারেন যে কেবলমাত্র বৈধ উত্পাদন প্রোগ্রামগুলি কার্যকর করা হয়?

কারা মারফিয়া
সূত্র
কারা এটি সর্বাধিক চিন্তাভাবনা এবং আমি পেয়েছি বিস্তারিত প্রতিক্রিয়া এক। আমি অনুমান করছি আপনি এটি কয়েকবার করেছেন।
পুনরায় সংযোগ করুন
1
আমি তাদের পূরণ করতে অভ্যস্ত, হ্যাঁ। ;) আমি সন্দেহ করি যে তারা অন্ধকার, ধোঁয়ায় ভরা কক্ষগুলিতে বিশাল কমিটি দ্বারা একত্রিত হয়েছে ... আমি আনন্দিত এটি সাহায্য করে, তাই। আপনাকে যে কোয়ান্ডারিটি হস্তান্তর করা হয়েছিল তা এসএফের অস্তিত্বের বিশাল কারণ।
কারা মারফিয়া
1
"আপনার কোনও কর্মচারী কি আমেরিকার বাইরে অবস্থিত?" -- হাস্যকর. আমার দৃষ্টিকোণ থেকে মার্কিন যুক্তরাষ্ট্রে কর্মচারী থাকা আরও ঝুঁকিপূর্ণ । মূল বিষয়টি হচ্ছে যে আমরা কাউকে ডেটা বা সার্ভার অ্যাক্সেস করতে দেবেন না (কোনও বিচারকের অনুমোদন ছাড়াই) এবং আমাদের আইনজীবীরা বলেছেন যে মার্কিন যুক্তরাষ্ট্রে কিছু কর্মচারী যদি এই ডেটাতে অ্যাক্সেস পান তবে ঠিক এই প্রয়োজনীয়তা পূরণ করা যাবে না: )
সার্ভারহোরার
4

নিয়ন্ত্রিত শিল্প (ব্যাংকিং) বা সরকারের সাথে কাজ করার সময় আমাকে কেবল এই তথ্য জানতে চাওয়া হয়েছিল।

আমি প্রতি "স্ট্যান্ডার্ড ফর্ম্যাট" সম্পর্কে সচেতন নই, তবে তারপরে আমাকে সর্বদা কিছু টেমপ্লেট দেওয়া হয়েছিল যা আমার গ্রাহককে একটি "শুরু করার জায়গা" হিসাবে নিরীক্ষক দিয়েছিলেন যখন আমাকে এগুলি তৈরি করতে হয়েছিল।

আমি সম্ভবত কিছু গুগল অনুসন্ধান দিয়ে শুরু করব এবং স্যাম্পল পলিসি নথির পথে আমি কী খুঁজে পেতে পারি তা দেখতে চাই। সানস ( http://www.sans.org ) সন্ধান শুরু করার জন্য আরও একটি ভাল জায়গা।

বিস্তারিত মাত্রা যতদূর যায়, আমি বলব এটি সম্ভবত দর্শকদের এবং উদ্দেশ্য অনুসারে তৈরি করা দরকার। আমাকে বিশেষভাবে নিম্ন-স্তরের বিশদ সরবরাহের জন্য বলা না হলে আমি বিশদটি উচ্চ-স্তরের রাখব keep

ইভান অ্যান্ডারসন
সূত্র
আমি দ্রুত একটি সুরক্ষা নীতি তৈরি করতে সর্বদা একটি এনআইএসটি টেমপ্লেট ব্যবহার করতাম, তবে আমার আর অনুলিপি নেই এবং একটি দ্রুত গুগল আর অরিজিনালগুলি খুঁজে পাবে না (আমি মনে করি এনআইএসটি এখন চার্জ করে)। ক্যালিফোর্নিয়া সরকারের টেমপ্লেট সহ কয়েকটি ভাল সংস্থান রয়েছে oispp.ca.gov/go গভর্নমেন্ট / লাইব্রেরি / স্যাম্পলগুলিতেএসএনএস ইনস্টিটিউটের উপরোক্ত পরামর্শটিও একটি দুর্দান্ত সংস্থান।
hromanko
4

কোনও সংস্থা আপনার সুরক্ষা নীতি দেখতে চাইতে পারে এমন বিভিন্ন কারণ রয়েছে। একটি উদাহরণ হ'ল পেমেন্ট কার্ড ইন্ডাস্ট্রি (ভিসা, মাস্টারকার্ড, অ্যামেক্স, ইত্যাদি ...) এর জন্য ক্রেডিট কার্ড প্রক্রিয়াকরণকারী সংস্থাগুলি অবশ্যই পেমেন্ট কার্ড শিল্প - ডেটা সিকিউরিটি স্ট্যান্ডার্ড (পিসিআই-ডিএসএস) মেনে চলেন। পিসিআই-ডিএসএস-এর একটি অংশের প্রয়োজন, সংস্থার অংশীদারদেরও অবশ্যই পিসিআই-ডিএসএসের সাথে চলতে হবে (যার অবশ্যই লিখিত নীতিমালা প্রয়োজন)।

সত্যি বলতে যদি আমি আপনাকে কোনও ভিপিএন বা সরাসরি সংযোগের মাধ্যমে আপনার নেটওয়ার্কে অ্যাক্সেস দিচ্ছি, তবে আমি জানতে চাই যে আপনার একটি নির্দিষ্ট স্তরের সুরক্ষা রয়েছে, অন্যথায় আমি নিজেকে সমস্ত ধরণের সম্ভাব্য সমস্যার জন্য উন্মুক্ত করছি।

এজন্যই পিসিআই বা আইএসও 27001 সার্টিফিকেট হওয়া এই সম্মানের ক্ষেত্রে একটি উত্সাহ হতে পারে কারণ আপনি বাহ্যিক সংস্থাকে জানাতে পারেন যে আপনার কাছে একটি নির্দিষ্ট স্তর পর্যন্ত জিনিসগুলি পরিচালনা করা হয়েছে। যদি আপনার নীতিগুলি খুব সাধারণ হয় তবে কোন নীতিমালা হওয়া উচিত, তা আপনার অংশীদারকে একটি অনুলিপি সরবরাহ করা কোনও সমস্যা নয়। তবে তারা যদি নির্দিষ্ট পদ্ধতি বা সুরক্ষা সম্পর্কিত তথ্য দেখতে চান তবে আমি এটিকে আমার সাইটটি ছাড়তে দেব না।

আপনার নীতিমালাতে আপনি কী আবরণ করতে চান সে সম্পর্কে কারাতে কিছু দুর্দান্ত দিকনির্দেশনা রয়েছে। নীতির উদাহরণ এখানে।

IT-001 সিস্টেম ব্যাকআপ / পুনরুদ্ধার নীতি

I. ভূমিকা এই বিভাগটি ব্যাকআপগুলি কীভাবে গুরুত্বপূর্ণ, আপনি কীভাবে অনুলিপিগুলি পরীক্ষা করে পরীক্ষা করে রাখার পরিকল্পনা করছেন সে সম্পর্কে আলোচনা করে।

২। উদ্দেশ্য A. এই নীতিটিতে ফ্রিকোয়েন্সি, সঞ্চয়স্থান এবং পুনরুদ্ধার বিহীন হবে এই নীতিটি ডেটা, অপারেটিং সিস্টেম এবং অ্যাপ্লিকেশন সফ্টওয়্যারকে অন্তর্ভুক্ত করবে। সমস্ত ব্যাকআপ / পুনরুদ্ধার পদ্ধতি অবশ্যই ডকুমেন্ট করে একটি নিরাপদ স্থানে রাখতে হবে

তৃতীয়। সুযোগ এই বিভাগে নোটটি নোটটি আপনার সংস্থার সমস্ত সার্ভার এবং ডেটা সম্পদ (এবং স্যাটেলাইট অফিসগুলির মতো কোনও নির্দিষ্ট ক্ষেত্র) জুড়ে রয়েছে notes

চতুর্থ। ভূমিকা ও দায়িত্ব A. ম্যানেজার - কী ব্যাক আপ হয় তা স্থির করে, ফ্রিকোয়েন্সি, মাঝারি এবং পদ্ধতিগুলি নির্ধারণ করে, ব্যাকআপগুলি ঘটে তাও পরীক্ষা করে বি সিস্টেম অ্যাডমিন - ব্যাকআপগুলি পরিচালনা করে, ব্যাকআপগুলি পরীক্ষা করে, ব্যাকআপগুলি পরীক্ষা করে, ব্যাকআপগুলি পরিবহন করে, পুনরুদ্ধারের পরীক্ষা করে, রক্ষণাবেক্ষণ করে ব্যাকআপ রোটেশন দাদা / পিতা / পুত্র সি। ব্যবহারকারীগণ - ব্যাক আপ কী হবে তার ইনপুট রয়েছে, অবশ্যই ব্যাক আপ করার জন্য মনোনীত স্থানে ডেটা রাখতে হবে

ভি। নীতি বিবরণী ব্যাকআপ - আপনি সাধারণ অর্থে ব্যাকআপগুলি সম্পর্কে যা বলতে চান তা পুনরুদ্ধার - সমস্ত সাধারণ যা আপনি সাধারণ অর্থে পুনরুদ্ধার সম্পর্কে বলতে চান

নির্দিষ্ট ধাপে ধাপে নির্দেশাবলী পৃথক পদ্ধতি / কাজের নির্দেশিকা নথিতে হওয়া উচিত। তবে আপনার যদি খুব ছোট সংগঠন থাকে তবে আপনি নীতিগুলি প্রক্রিয়া থেকে আলাদা করতে পারেন না।

আমি আশা করি এটি আপনাকে সহায়তা করে এবং কিছু দরকারী তথ্য দেয়।

ডেভিড ইউ
সূত্র
+1 কারন আমি পিসিআই এর সাথে জড়িত থাকতে পারে এমন একটি চুক্তি হ'ল আমি বাজি রাখতে আগ্রহী be (ক্রেডিট কার্ডের পিসিআই, পুরানো বাস সংযোগকারী নয়)। যদি এটি হয় তবে তারা সম্পূর্ণ স্পিক চায় না, কেবলমাত্র সেই জিনিসগুলি যা তাদের পিসিআই সম্মতিতে প্রভাব ফেলে।
ম্যাট
1

আমাকে সম্প্রতি এগুলির একটি লিখতে হয়েছিল এবং এটি খুব কঠিন হয়ে শেষ হয়নি। মঞ্জুর, টেইলারিংয়ের সম্পর্কে এমনকি পয়েন্টটি গুরুত্বপূর্ণ যদিও কিছু বিবরণ অন্যদের তুলনায় বর্ণনা করতে আরও বেশি কাজ নিতে চলেছে। এনআইএসটি- র বিভিন্ন উদ্দেশ্যে সুরক্ষা ব্যবস্থা বর্ণনা করে বিনামূল্যে, অনলাইন প্রকাশনার একটি বৃহত গ্রন্থাগার রয়েছে, আপনি এগুলি ধারণাগুলির জন্য ব্যবহার করতে পারেন যেখানে আপনি নিশ্চিত নন যে কোন ধরণের সুরক্ষার / সিকিউরিটির জন্য বলা হয়।

উচ্চ স্তরের শর্তাদি কভার করার জন্য এখানে কয়েকটি সাধারণ বিভাগ রয়েছে:

  • ডেটা ধরে রাখার নীতি
  • ব্যাকআপ পদ্ধতি / ব্যাকআপগুলিতে অ্যাক্সেস
  • ঘরে প্রবেশের বিধিনিষেধ (শারীরিক এবং ভার্চুয়াল)
    • নেটওয়ার্ক (ওয়্যারলেস, তারযুক্ত)
    • হার্ডওয়্যার (সার্ভার, ওয়ার্কস্টেশন, অফিস প্রাঙ্গণ, অফ-সাইট / টেলিওয়ার্ক)
    • হোস্টিং / ডেটা সেন্টার (আপনি যদি অংশীদারদের ডেটা সঞ্চয় করছেন তবে গুরুত্বপূর্ণ)
    • অপারেটিং সিস্টেম
  • কর্মীদের স্ক্রিনিং

এই তালিকাটি প্রসারিত বা হ্রাস করা যেতে পারে এখন অনেক তথ্য প্রয়োজনীয়। এছাড়াও, আপনার যদি এখনও জায়গাটিতে যথেষ্ট পরিমাণে না থাকে তবে হতাশার দরকার নেই। আমার পরামর্শ হ'ল আপনার 'অভিযুক্ত' নীতিগুলি বর্ণনা করার জন্য অবিচল থাকা, তবে কোনও অভাবের জন্য অবিলম্বে সেগুলি প্রসারিত করার জন্য প্রস্তুত থাকুন। এছাড়াও আপনি যে দাবি করছেন তাতে আহ্বান জানাতে প্রস্তুত থাকুন, এটি যতই কমই হোক না কেন (আইনজীবীরা পরবর্তী সময়ে যত্ন নেবেন না)।

দানা দ্য সনে
সূত্র
1

আমি এটির বিষয়ে আপনার সংস্থার আইনী পরামর্শটি নিয়ে বিশেষত যেহেতু এটি চুক্তির একটি অংশ তাই শুরু করব would

জোসেফ
সূত্র
1

প্রয়োজনীয়তার সমাধান করার জন্য আপনাকে আপনার সুরক্ষা নীতি দস্তাবেজের একটি অনুলিপি পাঠাতে হবে সুরক্ষার বিরুদ্ধে be আমি আমাদের সুরক্ষা নীতি লিখেছি এবং স্যানের টেম্পলেটগুলি থেকে সর্বাধিক ডক্সকে টেনে এনেছি। অন্যেরা আপনি গুগলে নির্দিষ্ট নীতি অনুসন্ধান সহ পূরণ করতে পারেন। নীতিটি দেখার জন্য আমরা বাইরের কোনও পক্ষকে যেভাবে পরিচালনা করি তা হ'ল তাদের আমাদের পরিচালন পরিচালকের অফিসে বসতে দেয় এবং এটি পড়তে দেয়। আমাদের নীতি হ'ল নীতিটি কখনই বিল্ডিং এবং আরও সুনির্দিষ্টভাবে আমাদের দৃষ্টি রাখে না। আমাদের সাথে চুক্তি রয়েছে যে কোনও তৃতীয় পক্ষের সুনির্দিষ্ট সক্ষমতা নিয়ে কাজ করার ক্ষেত্রে আমাদের সম্মতি জানাতে হবে যা আমাদের তথ্যের অ্যাক্সেসের প্রয়োজন হবে। এবং তারা কেস ভিত্তিতে মামলা করে on এই নীতিটি আপনার পরিবেশের সাথে খাপ খায় না বা SAN- তে থাকা সমস্ত নীতিই খাপ খায় না

TechGuyTJ
সূত্র
খুশি আমি এই অভিজ্ঞতার সাথে একা নই।
ম্যাথিউসি
এটি আকর্ষণীয় হয়েছে, তবে একটি দুর্দান্ত অভিজ্ঞতা। আমার ব্যবহারকারীরা আমাকে আর খুব বেশি পছন্দ করতে পারেন না তবে আপনি যদি এটি পরিসংখ্যানের দৃষ্টিকোণ থেকে দেখেন। আমি স্মৃতি বা তথ্যসূত্রে পড়েছি যে সুরক্ষা লঙ্ঘনের অভিজ্ঞতা রয়েছে এমন সমস্ত সংস্থার 70% এর আশেপাশে কোথাও কোথাও পুনরুদ্ধার করতে ব্যর্থ হয় এবং লঙ্ঘন সন্ধান করার 2 বছরের মধ্যে তাদের দরজা বন্ধ করে দেয়।
টেকগ্যুইটিজে
1

এটি কি স্ট্যান্ডার্ড অনুশীলন: ব্যাংকিং, খাদ্য, শক্তি, ইত্যাদি নিয়ন্ত্রিত কিছু শিল্পের জন্য আমার অভিজ্ঞতা হ্যাঁ is

একটি মানক ফর্ম্যাট আছে: বেশ কয়েকটি মান রয়েছে, তবে যদি আপনার চুক্তিতে কোনও মান নির্দিষ্ট করা হয় না (উদাহরণস্বরূপ, আইএসও) তবে আপনি যা পছন্দনীয় বিন্যাস চয়ন করুন তা চুক্তির জন্য ঠিক আছে।

এটা কঠিন হওয়া উচিত নয়। আপনার কাছে ইতিমধ্যে একটি প্যাচিং এবং পাসওয়ার্ডের মান রয়েছে, সুতরাং সেই মানটি কী এবং কীভাবে আপনি নিশ্চিত হন যে এটি অনুসরণ করা হয় তা নথির অবশ্যই উল্লেখ করা উচিত। এটিকে সুন্দর করে তুলতে খুব বেশি সময় ব্যয় করার ফাঁদে পড়বেন না। কেবল একটি সাধারণ দস্তাবেজই যথেষ্ট।

যদি আপনার চুক্তিটি একটি নির্দিষ্ট মান ব্যবহার করে নির্দিষ্ট করে থাকে তবে আপনি চুক্তি অনুসারী কিনা তা নিশ্চিত করার জন্য আপনার পেশাদার সহায়তা নেওয়া উচিত।

শন অ্যান্ডারসন
সূত্র
1

আমরা এই প্রশ্নটি অনেক পাই কারণ আমরা একটি হোস্টিং সুবিধা। নীচের লাইনটি হ'ল আমরা অগ্রাহ্য করি না যতক্ষণ না তারা আগে থেকে কী খুঁজছেন তা ঠিক না জানলে । তারা যদি আমাদের সুরক্ষা নীতিতে এমন কিছু সন্ধান করে যা আমাদের কাছে নেই তবে এটি সাধারণত কারণ আমাদের ব্যবসায়ের প্রকৃতির প্রয়োজন হয় না এবং আমরা তাদের তা বলে রাখি। এটি বিষয়গত হতে পারে, তবে এটি কোনও বিষয় নয় - এটির কারণে আমরা এখনও কোনও ব্যবসায় হারাতে পারি নি। প্রায়শই না হয়, তারা জিজ্ঞাসা করে কারণ তাদের অন্য কাউকে বলতে হবে যা তারা করেছে। একটি 'না' উত্তর অগত্যা কোনও খারাপ জিনিস বা চুক্তি ভঙ্গকারী নয়।

আমরা কেবল SAS70 II শংসাপত্রের মধ্য দিয়ে গিয়েছি, সুতরাং এখন আমরা কেবল নিরীক্ষকের মতামতপত্র দেই এবং এটি আমাদের লিখিত নীতিগুলির জন্য বলি।

স্কট ক্যান্টনার
সূত্র
0

আপনার কিছু এনডিএ লাগানোর আগে আপনার প্রয়োজন হবে need তারপরে আমি তাদের আসতে এবং সুরক্ষা নীতি পর্যালোচনা করতে দিতাম তবে এর অনুলিপিটি কখনই রাখেনি।

MathewC
সূত্র
আমি আপনাকে ভোট দিয়েছি না, তবে আমি এটি প্রকাশ না করার সময়, ব্যবসায়িক অংশীদারদের সাথে এটি ভাগ করে নেওয়া প্রশ্নের বাইরে নয়। যদিও আমি কাজ করেছি এমন প্রতিটি সংস্থায় এটি একই রকম হয় নি, আমার আইটি বিভাগটি অন্য যে কোনও ব্যবসায়ের প্রয়োজনের জন্য বিদ্যমান। আমি ধারণা করি আমাদের আইটি সুরক্ষা পরিকল্পনাটি কোনও ব্যবসায়িক প্রক্রিয়া বা ব্যবসায়িক পরিকল্পনার সাথে সমান।
পুনরায় সংযোগ করুন
আমি SAS70 সম্মতিতে পেরেছি এবং অনেক "অংশীদার" কেবল পর্যালোচনা করার অনুমতি দেবে। মুদ্রণে এমন কিছু থাকার দায় রয়েছে যা বলে যে আপনি কিছু করেন এবং তারপরে আপনি করেন না, বা আপনি এমন কিছু করেছিলেন যা সমস্যার সৃষ্টি করেছে। আমি দুঃখিত আপনি সম্মত হন না, তবে আমি অভিজ্ঞতা থেকে আমার মতামত দিচ্ছিলাম। আমি মনে করি না যে এটি ডাউনটাউটের যোগ্য।
ম্যাথিউসি
শুধু পরিষ্কার হয়ে আমি আপনাকে ভোট দিলাম না। এর দরকার ছিল না। আপনার অভিজ্ঞতাটি হ'ল ধরণের জিনিসটি সম্পর্কে শুনতে আমি পছন্দ করি। ধন্যবাদ!
পুনরায় সংযোগ করুন
আমার যদি প্রতিনিধি থাকে, আমি আপনাকে ভোট দিয়ে দেব। আপনার আইটি সুরক্ষা নীতি / ইনফেসেক নীতি দেখার জন্য তাদের এনডিএর স্বাক্ষর করার দরকার নেই need (পলিসি এবং একটি স্ট্যান্ডার্ড / পদ্ধতির মধ্যে পার্থক্য রয়েছে) একটি orgs ইনফেসেক পলিসি (সোেক্স কমপ্লায়েন্স, পিসিআই ডিএসএস, ইত্যাদি) দেখার প্রয়োজনের প্রচুর বৈধ কারণ রয়েছে Most /মানুয়াল
জোশ ব্রোয়ার
এটি একটি সতর্কতা। আপনি যদি নিজের সুরক্ষার জন্য এটি নিতে না চান, তবে এটি আপনার উপর। আপনি কেন এটি করবেন না তা আমি একটি বৈধ কারণ দিয়েছি। এবং আমি দুঃখিত যে আপনার কাছে আমাকে ভোট দেওয়ার মতো প্রতিনিধি নেই। আমি আমার নীচের ভোটগুলি খারাপ / বিপজ্জনক উত্তরের জন্য সংরক্ষণ করতে চাই, এমন নীতি নয় যা আমি একমত না।
ম্যাথিউসি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.