Definisi Dasar Isu Kebijakan Khusus
Kebijakan arti yang berbeda untuk orang yang berbeda. The "Kebijakan" digunakan dalam bab ini secara luas untuk merujuk kepada keputusan-keputusan penting komputer yang berhubungan dengan keamanan.
Kebijakan jangka keamanan komputer didefinisikan sebagai "dokumentasi keputusan keamanan komputer"-yang mencakup semua jenis kebijakan. Dalam mengambil keputusan ini, manajer menghadapi pilihan sulit menyangkut alokasi sumber daya, tujuan bersaing, dan strategi organisasi terkait untuk melindungi kedua sumber daya teknis dan informasi serta pedoman perilaku karyawan. Manajer di semua tingkatan membuat pilihan yang dapat menghasilkan kebijakan, dengan lingkup penerapan kebijakan itu bervariasi sesuai dengan lingkup kewenangan manajer. keputusan manajerial tentang isu-isu keamanan komputer sangat bervariasi. Untuk membedakan antara berbagai macam kebijakan, bab ini mengkategorikan mereka ke dalam tiga tipe dasar:
* Kebijakan Program digunakan untuk membuat program komputer keamanan organisasi.
Isu-kebijakan khusus * isu-isu khusus yang menjadi perhatian organisasi.
* Sistem-spesifik kebijakan fokus pada keputusan yang diambil oleh manajemen
untuk melindungi system.
Prosedur, standar, dan pedoman yang digunakan untuk menggambarkan bagaimana kebijakan ini akan diimplementasikan dalam sebuah organisasi. Alat untuk Menerapkan Kebijakan:
Standar, Pedoman, dan Prosedur
Kebijakan dan pelaksanaannya. Hal ini dapat membantu dalam mempromosikan fleksibilitas dan efektivitas biaya dengan menawarkan alternatif pendekatan implementasi untuk mencapai tujuan kebijakan.
Secara umum, kebijakan masalah-spesifik dan sistem-spesifik, penerbit adalah seorang pejabat senior; itu, lebih global, kontroversial, atau sumber daya intensif yang lebih senior penerbit
Elemen Dasar Isu Kebijakan KhususElemen-elemen organisasi dan pejabat yang bertanggung jawab untuk implementasi dan kesinambungan keamanan komputer policy.
Kepatuhan. Program kebijakan biasanya akan membahas dua isu kepatuhan:
1. kepatuhan Umum untuk memastikan memenuhi persyaratan untuk membentuk program dan tanggung jawab yang ditugaskan di dalamnya untuk komponen berbagai organisasi. Seringkali kantor pengawasan (misalnya, Inspektur Jenderal) diberikan tanggung jawab untuk pemantauan kepatuhan, termasuk seberapa baik organisasi menerapkan manajemen prioritas untuk program tersebut.
2. Penggunaan hukuman yang ditetapkan dan tindakan disipliner. Karena kebijakan keamanan adalah dokumen tingkat tinggi, hukuman yang spesifik untuk berbagai pelanggaran biasanya tidak rinci di sini, melainkan kebijakan dapat memberikan wewenang pembentukan struktur kepatuhan yang termasuk pelanggaran dan tindakan disiplin tertentu .
Mereka kebijakan kepatuhan berkembang harus ingat bahwa pelanggaran kebijakan bisa tidak disengaja pada bagian dari karyawan. Sebagai contoh, nonconformance sering bisa karena kurangnya pengetahuan atau pelatihan.
-Isu Kebijakan Khusus
Sedangkan kebijakan program ini dimaksudkan untuk mengatasi program komputer keamanan yang luas organizationwide, mengeluarkan kebijakan khusus dikembangkan untuk fokus pada bidang relevansi saat ini dan kepedulian (dan kadang-kadang kontroversi) untuk organisasi. Manajemen mungkin perlu, misalnya, untuk mengeluarkan kebijakan tentang bagaimana organisasi akan pendekatan perencanaan kontinjensi (sentralisasi vs desentralisasi) atau penggunaan metodologi tertentu untuk mengelola risiko sistem. Suatu kebijakan juga bisa dikeluarkan, misalnya, pada penggunaan yang tepat atas suatu teknologi mutakhir (kerentanan keamanan yang sebagian besar masih tidak diketahui) dalam organisasi. Isu kebijakan khusus juga mungkin tepat ketika isu baru muncul, seperti ketika mengimplementasikan undang-undang yang baru saja disahkan membutuhkan perlindungan tambahan informasi tertentu. Program kebijakan biasanya cukup luas yang tidak memerlukan banyak modifikasi dari waktu ke waktu, sedangkan mengeluarkan kebijakan spesifik cenderung memerlukan revisi lebih sering sebagai perubahan teknologi dan faktor yang berhubungan berlangsung.
.
- Contoh Topik untuk Policy Edisi Khusus
Kedua teknologi baru dan munculnya ancaman baru sering membutuhkan penciptaan mengeluarkan kebijakan khusus.
Akses internet. Banyak organisasi mencari di internet sebagai sarana untuk memperluas riset mereka peluang dan komunikasi. Tidak diragukan lagi, menghubungkan ke Internet menghasilkan banyak manfaat - dan beberapa kekurangan. Beberapa isu kebijakan akses Internet dapat alamat termasuk yang akan memiliki akses, yang jenis sistem dapat dihubungkan ke jaringan, apa jenis informasi dapat dikirim melalui jaringan, persyaratan untuk otentikasi pengguna untuk sistem yang tersambung ke Internet, dan penggunaan firewall dan gateway aman.
.
Komponen Dasar Isu Kebijakan Khusus
Seperti yang diusulkan untuk kebijakan program, struktur berguna untuk kebijakan isu-spesifik adalah memecah kebijakan tersebut ke dalam komponen dasar.
Program menetapkan arah kebijakan strategis organisasi untuk keamanan dan memberikan sumber daya untuk pelaksanaannya
1. Komponen Dasar Kebijakan Program
Komponen kebijakan program harus alamat:
Tujuan. Program kebijakan biasanya mencakup pernyataan yang menjelaskan
mengapa
program ini sedang dibangun. Ini mungkin termasuk mendefinisikan tujuan
program.
kebutuhan Keamanan-terkait, seperti integritas, ketersediaan, dan kerahasiaan,
dapat
membentuk dasar dari tujuan organisasi didirikan pada kebijakan
Ruang Lingkup. Program kebijakan harus jelas sebagai mana sumber daya-termasuk fasilitas, perangkat keras, dan perangkat lunak, informasi, dan personil - program keamanan komputer mencakup.
Tanggung Jawab. Setelah program keamanan komputer didirikan, manajemen biasanya ditugaskan untuk baik yang baru diciptakan atau yang sudah ada office.
Program kebijakan menetapkan program keamanan dan memberikan manajemen program dan tanggung jawab yang mendukung
Penerapan. Isu-kebijakan khusus juga perlu untuk memasukkan laporan penerapan. Ini berarti mengklarifikasi di mana, bagaimana, kapan, kepada siapa, dan apa kebijakan tertentu berlaku. Sebagai contoh, bisa saja bahwa kebijakan hipotetis pada perangkat lunak tidak resmi dimaksudkan untuk hanya berlaku untuk sumber daya sendiri organisasi on-situs dan karyawan dan tidak kepada kontraktor dengan kantor-kantor di lokasi lain. Selain itu, penerapan kebijakan untuk karyawan perjalanan antara lokasi yang berbeda dan / atau bekerja di rumah yang perlu untuk mengangkut dan menggunakan disk di beberapa situs mungkin perlu diperjelas.
Poin dari Kontak dan Informasi Tambahan. Untuk setiap kebijakan isu-spesifik, individu-individu yang sesuai dalam organisasi untuk menghubungi untuk informasi lebih lanjut, bimbingan, dan kepatuhan harus ditunjukkan. Karena posisi cenderung berubah lebih sering daripada orang-orang yang menduduki mereka, posisi tertentu mungkin lebih disukai sebagai titik kontak. Sebagai contoh, untuk beberapa masalah titik kontak mungkin manajer lini, untuk masalah lain mungkin manajer fasilitas, dukungan orang teknis, administrator sistem, atau perwakilan program keamanan. Menggunakan contoh di atas sekali lagi, karyawan perlu mengetahui apakah titik kontak untuk pertanyaan dan informasi prosedural akan atasan langsung mereka, seorang administrator sistem, atau pejabat keamanan komputer.
Pedoman dan prosedur sering menyertai kebijakan. Kebijakan isu-spesifik pada perangkat lunak tidak resmi, misalnya, mungkin termasuk panduan prosedural untuk memeriksa disk dibawa ke pekerjaan yang telah digunakan oleh karyawan di lokasi lain.
- Sistem Kebijakan Khusus
Untuk mengembangkan seperangkat kohesif dan komprehensif kebijakan keamanan, para pejabat dapat menggunakan proses manajemen yang berasal aturan-aturan keamanan dari tujuan keamanan. Hal ini membantu untuk mempertimbangkan model dua-tingkat kebijakan sistem keamanan: tujuan keamanan dan aturan keamanan operasional, yang bersama-sama terdiri dari kebijakan sistem-spesifik. Berhubungan erat dan sering sulit untuk membedakan, bagaimanapun, adalah penerapan kebijakan dalam teknologi.
Contoh Keamanan Tujuan
Langkah pertama dalam proses manajemen untuk menentukan tujuan keamanan untuk sistem tertentu. Meskipun, proses ini bisa dimulai dengan analisis kebutuhan integritas, ketersediaan, dan kerahasiaan, seharusnya tidak berhenti di situ. Tujuan keamanan perlu lebih spesifik, melainkan harus konkret dan terdefinisi dengan baik. Hal ini juga harus dinyatakan sedemikian rupa sehingga jelas bahwa tujuan dapat dicapai. Proses ini juga akan memanfaatkan kebijakan organisasi lainnya yang berlaku.
Tujuan Keamanan terdiri dari serangkaian pernyataan yang menjelaskan tindakan yang berarti tentang sumber daya eksplisit. Tujuan ini harus didasarkan pada kebutuhan sistem fungsional atau misi, tapi harus menyatakan tindakan keamanan yang mendukung persyaratan.
http://csrc.nist.gov/publications/nistpubs/800-12/800-12-html/chapter5-printable.html
