Ein Partner möchte eine Kopie unserer schriftlichen IT-Sicherheitsrichtlinie und ich bin mir nicht sicher, was ich tun soll.

23

Mein Unternehmen arbeitet mit einem anderen Unternehmen zusammen und fordert im Rahmen des Vertrags eine Kopie der schriftlichen IT-Sicherheitsrichtlinie meines Unternehmens an. Ich habe keine schriftliche IT-Sicherheitsrichtlinie und bin mir nicht ganz sicher, was ich ihnen geben möchte. Wir sind ein Microsoft-Shop. Wir haben Aktualisierungspläne, eingeschränkte Zugriffsrechte für die Verwaltung von Servern, Firewalls und SSL-Zertifikaten und führen von Zeit zu Zeit den Microsoft Baseline Security Analyzer aus.

Wir konfigurieren Dienste und Benutzerkonten, da wir der Meinung sind, dass sie größtenteils sicher sind (es ist schwierig, wenn Sie nicht die volle Kontrolle darüber haben, welche Software Sie ausführen), aber ich kann nicht auf jedes Detail eingehen, da jeder Dienst und Server unterschiedlich ist. Ich bekomme mehr Informationen darüber, was sie wollen, aber ich fühle mich, als wären sie auf einer Angelexpedition.

Meine Fragen sind: Ist es üblich, diese Informationen anzufordern? (Ich bin ehrlich gesagt nicht dagegen, aber es ist noch nie passiert.) Und wenn dies Standard ist, gibt es ein Standardformat und einen erwarteten Detaillierungsgrad, den ich präsentieren sollte?

best-practices 
Reconbot
quelle
1
Es stellte sich heraus, dass wir eine c-tpat-Zertifizierung beantragen. Wir müssen uns nur an zwei Dinge halten. 1) Passwortschutz 2) Verantwortlichkeit ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/… ) Die erstaunliche Menge an guten Antworten hier hat mich zu dem Gedanken gebracht, dass ich ein Projekt gestartet habe, um einen formellen Plan zu haben Verwenden Sie viele Ihrer Ratschläge, nicht für die Zertifizierung, sondern für uns.
Reconbot
Diese Frage ist unter den aktuellen Aktualitätsregeln nicht aktuell.
HopelessN00b

Antworten:

44

Sie benötigen keine Kopie Ihrer gesamten internen IT-Richtlinie, aber ich denke, dass sie nach etwas ähnlichem streben - jemand muss Ihnen auf jeden Fall genügend Informationen über den Vertrag liefern, um zu bestimmen, wie viele Details Sie bereitstellen müssen und worüber. Ich bin mit Joseph einverstanden - wenn sie die Informationen aus rechtlichen / Compliance-Gründen benötigen, müssen rechtliche Eingaben gemacht werden.

Hintergrundinformation

1) Befinden sich Ihre Mitarbeiter außerhalb der USA?

2) Verfügt Ihr Unternehmen über formalisierte und dokumentierte Richtlinien zur Informationssicherheit?

3) Wird der Umgang mit und die Klassifizierung von Informationen und Daten von Ihren Informationssicherheitsrichtlinien abgedeckt?

4) Gibt es noch offene regulatorische Probleme, die Sie derzeit in den Bundesstaaten, in denen Sie tätig sind, angehen? Wenn ja, bitte erklären.

Allgemeine Sicherheit

1) Haben Sie ein Informationssicherheits-Schulungsprogramm für Mitarbeiter und Auftragnehmer?

2) Welche der folgenden Methoden zur Authentifizierung und Autorisierung des Zugriffs auf Ihre Systeme und Anwendungen verwenden Sie derzeit:

  • Wird vom Betriebssystem ausgeführt
  • Durchgeführt von kommerziellen Produkten
  • Einmalige Anmeldung
  • Clientseitige digitale Zertifikate
  • Andere Zwei-Faktor-Authentifizierung
  • Einheimisch
  • Kein Authentifizierungsmechanismus vorhanden

3) Wer berechtigt Mitarbeiter, Auftragnehmer, Zeitarbeiter, Lieferanten und Geschäftspartner zum Zugriff?

4) Erlauben Sie Ihren Mitarbeitern (einschließlich Auftragnehmern, Zeitarbeitskräften, Lieferanten usw.) den Fernzugriff auf Ihre Netzwerke?

5) Haben Sie einen Plan zur Reaktion auf Sicherheitsvorfälle? Wenn nein, wie werden Sicherheitsvorfälle behandelt?

6) Verfügen Sie über eine Richtlinie, die den Umgang mit internen oder vertraulichen Informationen in E-Mail-Nachrichten außerhalb Ihres Unternehmens regelt?

7) Überprüfen Sie Ihre Informationssicherheitsrichtlinien und -standards mindestens einmal jährlich?

8) Welche Methoden und physischen Kontrollen sind vorhanden, um den unbefugten Zugriff auf die Sicherheitsbereiche Ihres Unternehmens zu verhindern?

  • Netzwerkserver in verschlossenen Räumen
  • Physischer Zugang zu Servern, die durch die Sicherheitsidentifikation eingeschränkt sind (Zugangskarten, Biometrie usw.)
  • Videoüberwachung
  • Anmeldeprotokolle und -verfahren
  • Sicherheitsausweise oder ID-Karten jederzeit in sicheren Bereichen sichtbar
  • Sicherheitskräfte
  • Keiner
  • Sonstiges, Bitte machen Sie zusätzliche Angaben

9) Bitte beschreiben Sie Ihre Passwortrichtlinie für alle Umgebungen. Dh Länge, Stärke und Alterung

10) Haben Sie einen Disaster Recovery (DR) -Plan? Wenn ja, wie oft testen Sie es?

11) Haben Sie einen Business Continuity (BC) -Plan? Wenn ja, wie oft testen Sie es?

12) Werden Sie uns auf Anfrage eine Kopie Ihrer Testergebnisse (BC und DR) zur Verfügung stellen?

Architektur- und Systemüberprüfung

1) Werden die Daten und / oder Anwendungen von [The Company] auf einem dedizierten oder gemeinsam genutzten Server gespeichert und / oder verarbeitet?

2) Wie werden die Daten von [The Company] auf einem gemeinsam genutzten Server von den Daten anderer Unternehmen segmentiert?

3) Welche Art von Konnektivität zwischen Unternehmen wird bereitgestellt?

  • Internet
  • Privat / Standleitung (zB T1)
  • Einwahl
  • VPN (virtuelles privates Netzwerk)
  • Terminaldienst
  • Keiner
  • Sonstiges, Bitte machen Sie zusätzliche Angaben

4) Wird diese Netzwerkverbindung verschlüsselt? Wenn ja, welche Verschlüsselungsmethode wird verwendet?

5) Ist clientseitiger Code (einschließlich ActiveX- oder Java-Code) erforderlich, um die Lösung zu verwenden? Wenn ja, bitte beschreiben.

6) Verfügen Sie über eine Firewall, um den externen Netzwerkzugriff auf Ihre Webserver zu steuern? Wenn nein, wo befinden sich diese Server?

7) Enthält Ihr Netzwerk eine DMZ für den Internetzugriff auf Anwendungen? Wenn nein, wo befinden sich diese Anwendungen?

8) Ergreift Ihre Organisation Maßnahmen, um Denial-of-Service-Ausfällen vorzubeugen? Bitte beschreiben Sie diese Schritte

9) Führen Sie eine der folgenden Überprüfungen / Tests zur Informationssicherheit durch

  • Interne System- / Netzwerkscans
  • Intern verwaltete Selbsteinschätzungen und / oder Due Diligence-Prüfungen
  • Interne Code-Überprüfungen / Peer-Überprüfungen
  • Penetrationstests / -studien von externen Drittanbietern
  • Sonstiges, bitte machen Sie nähere Angaben. Wie häufig werden diese Tests durchgeführt?

10) Welche der folgenden Informationssicherheitspraktiken werden in Ihrer Organisation aktiv angewendet?

  • Zugriffskontrolllisten
  • Digitale Zertifikate - Serverseitig
  • Digitale Zertifikate - Client-Seite
  • Digitale Signaturen
  • Netzwerkbasierte Intrusion Detection / Prevention
  • Hostbasierte Erkennung / Verhinderung von Eindringlingen
  • Geplante Aktualisierungen von Signaturdateien zur Erkennung von Angriffen / zur Verhinderung von Angriffen
  • Intrusion Monitoring 24x7
  • Kontinuierliche Virensuche
  • Geplante Updates für Virensignaturdateien
  • Penetrationsstudien und / oder -tests
  • Keiner

11) Haben Sie Standards zum Absichern oder Sichern Ihrer Betriebssysteme?

12) Haben Sie einen Zeitplan für das Anwenden von Updates und Hotfixes auf Ihre Betriebssysteme? Wenn nein, teilen Sie uns bitte mit, wie Sie bestimmen, was und wann Patches und wichtige Updates angewendet werden sollen

13) Warten Sie zum Schutz vor Strom- oder Netzwerkausfällen vollständig redundante Systeme für Ihre wichtigsten Transaktionssysteme?

Webserver (falls zutreffend)

1) Über welche URL wird auf die Anwendung / Daten zugegriffen?

2) Welches Betriebssystem bzw. welche Betriebssysteme sind die Webserver? (Bitte geben Sie den Betriebssystemnamen, die Version und das Service Pack oder die Patch-Version an.)

3) Was ist die Webserver-Software?

Anwendungsserver (falls zutreffend)

1) Welches Betriebssystem bzw. welche Betriebssysteme sind die Anwendungsserver? (Bitte geben Sie den Namen, die Version und das Service Pack oder den Patch-Level des Betriebssystems an.)

2) Was ist die Anwendungsserver-Software?

3) Verwenden Sie eine rollenbasierte Zugriffskontrolle? Wenn ja, wie werden die Zugriffsebenen den Rollen zugewiesen?

4) Wie stellen Sie sicher, dass eine angemessene Genehmigung und Aufgabentrennung vorliegt?

5) Verwendet Ihre Anwendung mehrstufigen Benutzerzugriff / Sicherheit? Wenn ja, stellen Sie bitte Details bereit.

6) Werden Aktivitäten in Ihrer Anwendung von einem Drittanbieter-System oder -Dienst überwacht? Wenn ja, teilen Sie uns bitte den Namen des Unternehmens und der Dienstleistung mit und welche Informationen überwacht werden

Datenbankserver (falls zutreffend)

1) Welches Betriebssystem bzw. welche Betriebssysteme sind die Datenbankserver? (Bitte geben Sie den Betriebssystemnamen, die Version und das Service Pack oder die Patch-Version an.)

2) Welche Datenbankserver-Software wird verwendet?

3) Ist die DB repliziert?

4) Ist der DB-Server Teil eines Clusters?

5) Was wird (wenn überhaupt) getan, um die Daten von [The Company] von anderen Unternehmen zu isolieren?

6) Werden die Daten von [The Company] bei der Speicherung auf der Festplatte verschlüsselt? Wenn ja, beschreiben Sie bitte die Verschlüsselungsmethode

7) Wie werden Quelldaten erfasst?

8) Wie werden Datenintegritätsfehler behandelt?

Überwachung und Protokollierung

1) Melden Sie den Kundenzugriff an:

  • Der Webserver?
  • Der Anwendungsserver?
  • Der Datenbankserver?

2) Werden die Protokolle überprüft? Wenn ja, bitte erläutern Sie den Vorgang und wie oft werden sie überprüft?

3) Bieten Sie Systeme und Ressourcen zum Verwalten und Überwachen von Prüfprotokollen und Transaktionsprotokollen an? Wenn ja, welche Protokolle speichern Sie und wie lange speichern Sie sie?

4) Erlauben Sie [The Company], Ihre Systemprotokolle zu überprüfen, da sie sich auf unser Unternehmen beziehen?

Privatsphäre

1) Mit welchen Prozessen und Verfahren werden die Daten von [The Company] freigegeben, gelöscht oder verworfen, wenn sie nicht mehr benötigt werden?

2) Haben Sie zu irgendeinem Zeitpunkt irrtümlich oder versehentlich Kundendaten mitgeteilt?
Wenn ja, welche Korrekturmaßnahmen haben Sie seitdem durchgeführt?

3) Haben Auftragnehmer (Nichtmitarbeiter) Zugang zu sensiblen oder vertraulichen Informationen? Wenn ja, haben sie eine Geheimhaltungsvereinbarung unterzeichnet?

4) Haben Sie Anbieter, die berechtigt sind, auf Ihre Netzwerke, Systeme oder Anwendungen zuzugreifen und diese zu warten? Wenn ja, haben diese Anbieter schriftliche Verträge abgeschlossen, die Vertraulichkeit, Zuverlässigkeitsüberprüfungen und Versicherungen / Schadensersatz gegen Verluste vorsehen?

5) Wie werden Ihre Daten klassifiziert und gesichert?

Operationen

1) Wie häufig und in welcher Höhe werden Ihre Backups durchgeführt?

2) Wie lang ist die Aufbewahrungsdauer von Backups vor Ort?

3) In welchem ​​Format werden Ihre Backups gespeichert?

4) Speichern Sie Backups an einem externen Ort? Wenn ja, wie lange ist die Aufbewahrungsfrist?

5) Verschlüsseln Sie Ihre Datensicherungen?

6) Wie stellen Sie sicher, dass nur gültige Produktionsprogramme ausgeführt werden?

Kara Marfia
quelle
Kara, das ist eine der durchdachtesten und ausführlichsten Antworten, die ich je bekommen habe. Ich vermute, du hast das ein paar Mal gemacht.
Reconbot
1
Ich bin es gewohnt, sie auszufüllen, ja. ;) Ich vermute, sie werden von riesigen Komitees in dunklen, mit Rauch gefüllten Räumen zusammengestellt ... Ich bin froh, dass es hilft, tho. Das Quandry, das Sie erhalten haben, ist ein großer Grund, warum SF existiert.
Kara Marfia
1
"Befinden sich Ihre Mitarbeiter außerhalb der USA?" -- lustig. Aus meiner Sicht ist es eher ein Risiko, einen Mitarbeiter in den USA zu haben . Der Punkt ist, dass wir gesetzlich verpflichtet sind, niemandem Zugang zu den Daten oder Servern zu gewähren (ohne Zustimmung eines Richters), und unsere Anwälte sagten, dass genau diese Anforderung nicht erfüllt werden kann, wenn ein Mitarbeiter aus den USA Zugang zu diesen Daten hat: )
Serverhorror
4

Ich wurde immer nur gefragt, wenn ich mit regulierten Branchen (Banken) oder Behörden zusammenarbeite.

Mir ist kein "Standardformat" per se bekannt, aber ich habe immer eine Vorlage erhalten, die mein Kunde von einem Prüfer als "Ausgangspunkt" angegeben hat, als ich diese erstellen musste.

Ich würde wahrscheinlich mit einigen Google-Suchanfragen beginnen und sehen, was ich an Beispielen für Richtliniendokumente finden könnte. SANS ( http://www.sans.org ) ist auch ein guter Ort, um sich umzusehen.

Was den Detaillierungsgrad angeht, würde ich sagen, dass er wahrscheinlich auf das Publikum und den Zweck zugeschnitten sein muss. Ich würde das Detail auf hohem Niveau halten, wenn ich nicht speziell gebeten würde, Details auf niedrigem Niveau bereitzustellen.

Evan Anderson
quelle
Ich habe immer eine NIST-Vorlage verwendet, um schnell eine Sicherheitsrichtlinie zu erstellen, aber ich habe keine Kopie mehr und eine schnelle Google-Suche kann die Originale nicht mehr finden (ich denke, NIST berechnet jetzt Gebühren). Die kalifornische Regierung verfügt unter oispp.ca.gov/government/Library/samples.asp über einige gute Ressourcen, einschließlich Vorlagen. Der obige Vorschlag des SANS Institute ist ebenfalls eine großartige Ressource.
hromanko
4

Es gibt verschiedene Gründe, aus denen ein Unternehmen Ihre Sicherheitsrichtlinien einsehen möchte. Ein Beispiel dafür ist, dass die Kreditkartenindustrie (Visa, MasterCard, AmEx usw.) von den Unternehmen, die Kreditkarten verarbeiten, verlangt, dass sie den PCI-DSS-Standard (Payment Card Industry) einhalten. Ein Abschnitt des PCI-DSS verlangt, dass sich die Partner des Unternehmens auch an PCI-DSS halten (was natürlich schriftliche Richtlinien erfordert).

Ehrlich gesagt, wenn ich Ihnen über ein VPN oder eine direkte Verbindung Zugriff auf Ihr Netzwerk gewähre, möchte ich wissen, dass Sie über ein bestimmtes Sicherheitsniveau verfügen. Andernfalls bin ich offen für alle möglichen Probleme.

Das ist der Grund, warum eine PCI- oder ISO 27001-Zertifizierung in dieser Hinsicht ein Segen sein kann, da Sie der externen Organisation mitteilen können, dass Sie Dinge bis zu einem bestimmten Grad erledigen müssen. Wenn Ihre Richtlinien sehr allgemein sind, welche Richtlinien es sein sollten, ist es möglicherweise kein Problem, Ihrem Partner eine Kopie zur Verfügung zu stellen. Wenn sie jedoch bestimmte Verfahren oder Sicherheitsinformationen sehen möchten, würde ich nicht zulassen, dass dies meine Website verlässt.

Kara hat einige ausgezeichnete Anleitungen, was Sie in Ihren Richtlinien abdecken möchten. Hier ist ein Beispiel für eine Richtlinie.

IT-001-System-Sicherungs- / Wiederherstellungsrichtlinie

I. Einführung In diesem Abschnitt wird erläutert, wie wichtig Sicherungen sind und wie Sie Kopien außerhalb des Standorts testen und aufbewahren möchten.

II. Zweck A. Diese Richtlinie gilt für Häufigkeit, Speicherung und Wiederherstellung. B. Diese Richtlinie gilt für Daten, Betriebssysteme und Anwendungssoftware. C. Alle Sicherungs- / Wiederherstellungsverfahren müssen dokumentiert und an einem sicheren Ort aufbewahrt werden

III. Geltungsbereich In diesem Abschnitt wird darauf hingewiesen, dass die Richtlinie alle Server und Datenbestände in Ihrem Unternehmen (und alle anderen spezifischen Bereiche wie Satellitenbüros) abdeckt.

IV. Rollen und Verantwortlichkeiten A. Manager - entscheidet, was gesichert wird, legt Häufigkeit, Medium und Verfahren fest und prüft, ob Sicherungen durchgeführt werden. B. Systemadministrator - Führt die Sicherungen aus, überprüft die Sicherungen, testet die Sicherungen, transportiert Sicherungen, testet die Wiederherstellung und verwaltet sie Der Großvater / Vater / Sohn der Sicherungsrotation C. Benutzer - Hat Eingaben zu dem, was gesichert wird, müssen Daten an dem Ort abgelegt werden, der für die Sicherung bestimmt ist

V. Richtlinienbeschreibung Backup - alle Informationen, die Sie zu Backups im Allgemeinen sagen möchten. Recovery - alle Informationen, die Sie zu Recovery im Allgemeinen sagen möchten

Spezifische Schritt-für-Schritt-Anweisungen sollten in einem separaten Verfahrens- / Arbeitsanweisungsdokument enthalten sein. Wenn Sie jedoch eine sehr kleine Organisation haben, können Sie Richtlinien möglicherweise nicht von Prozeduren trennen.

Ich hoffe, dies hilft und gibt Ihnen einige nützliche Informationen.

David Yu
quelle
+1, weil ich bereit wäre, auf die Tatsache zu wetten, dass es sich um einen Vertrag handelt, an dem PCI beteiligt sein könnte. (die Kreditkarte PCI, nicht der alte Busverbinder). In diesem Fall möchten sie keine vollständige Spezifikation, sondern nur die Dinge, die sich auf ihre PCI-Konformität auswirken.
Matt
1

Ich musste kürzlich eines davon schreiben und es wurde nicht allzu schwierig. Zugegeben, Even's Argument bezüglich des Schneiderns ist wichtig, da einige Details mehr Arbeit erfordern als andere. NIST verfügt auch über eine große Bibliothek kostenloser Online-Veröffentlichungen, in denen Sicherheitsmaßnahmen für verschiedene Zwecke beschrieben werden. Sie können diese für Ideen verwenden, bei denen Sie sich nicht sicher sind, welche Art / welches Ausmaß der Sicherheit erforderlich ist.

Hier sind einige allgemeine Kategorien, die auf hohem Niveau behandelt werden sollten:

  • Richtlinie zur Vorratsdatenspeicherung
  • Sicherungsverfahren / Zugriff auf Sicherungen
  • Interne Zugriffsbeschränkungen (physisch und virtuell)
    • Netzwerk (drahtlos, verkabelt)
    • Hardware (Server, Workstations, Büroräume, Offsite / Telearbeit)
    • Hosting / Rechenzentrum (wichtig, wenn Sie die Partnerdaten speichern)
    • Betriebssystem
  • Personal-Screening

Diese Liste kann erweitert oder reduziert werden, da jetzt viele Informationen erforderlich sind. Sie brauchen sich auch nicht zu ärgern, wenn Sie noch nicht alles eingerichtet haben. Mein Rat ist, sich an die Beschreibung Ihrer "beabsichtigten" Richtlinien zu halten, diese jedoch sofort zu erweitern, wenn etwas fehlt. Seien Sie auch bereit, auf das angerufen zu werden, was Sie behaupten, egal wie unwahrscheinlich dies ist (die Anwälte kümmern sich später nicht darum).

Dana the Sane
quelle
1

Ich würde mich zunächst an den Rechtsbeistand Ihres Unternehmens wenden, zumal es Teil eines Vertrags ist.

Joseph
quelle
1

Wenn Sie eine Kopie Ihres Sicherheitsrichtliniendokuments senden müssen, ist dies ein wenig sicherheitsschädlich. Ich habe unsere Sicherheitsrichtlinien geschrieben und die meisten Dokumente aus den SAN-Vorlagen entnommen. Die anderen können Sie mit bestimmten Richtliniensuchen bei Google ausfüllen. Die Art und Weise, wie wir mit einer externen Partei umgehen, die die Richtlinien sehen möchte, besteht darin, dass sie sich in das Büro unseres Operationsdirektors setzen und es ihnen erlauben, sie zu lesen. Unsere Politik ist, dass die Politik das Gebäude und insbesondere unsere Sicht nie verlässt. Wir haben Vereinbarungen, mit denen sich Dritte einverstanden erklären müssen, wenn wir in bestimmten Funktionen arbeiten, die den Zugriff auf unsere Informationen erfordern. Und sie sind von Fall zu Fall. Diese Richtlinie passt möglicherweise nicht zu Ihrer Umgebung und auch nicht zu allen Richtlinien in SAN. '

TechGuyTJ
quelle
Ich bin froh, dass ich nicht der einzige bin, der diese Erfahrung gemacht hat.
MathewC
Es war interessant, aber eine großartige Erfahrung. Meine Benutzer mögen mich vielleicht nicht mehr sehr, aber wenn Sie es aus statistischer Sicht betrachten. Ich habe in einer Woche oder einer Informationswoche gelesen, dass sich 70% aller Unternehmen, bei denen eine Sicherheitslücke aufgetreten ist, nicht erholen können und innerhalb von zwei Jahren, nachdem sie die Lücke entdeckt haben, ihre Türen schließen.
TechGuyTJ
1

Gehört es zur Standardpraxis? Meine Erfahrung ist ja für bestimmte Branchen, die reguliert sind, wie z. B. Bankwesen, Lebensmittel, Energie usw.

Gibt es ein Standardformat: Es gibt eine Reihe von Standards, aber wenn in Ihrem Vertrag kein Standard festgelegt ist (z. B. ISO), sollten Sie vertraglich in Ordnung sein, um das von Ihnen gewählte Format bereitzustellen.

Es sollte nicht schwierig sein. Sie haben bereits einen Patch- und Kennwortstandard, daher sollte im Dokument angegeben werden, was dieser Standard ist und wie Sie sicherstellen, dass er eingehalten wird. Fallen Sie nicht in die Falle, zu viel Zeit damit zu verbringen, es hübsch zu machen. Nur ein einfaches Dokument wird ausreichen.

Wenn Ihr Vertrag die Verwendung eines bestimmten Standards vorsieht, sollten Sie professionelle Hilfe in Anspruch nehmen, um sicherzustellen, dass Sie den Vertrag einhalten.

Shawn Anderson
quelle
1

Wir bekommen diese Frage oft, weil wir eine Hosting-Einrichtung sind. Fazit ist, dass wir es nicht herausgeben, es sei denn, wir wissen genau, wonach sie im Voraus suchen. Wenn sie nach etwas in unserer Sicherheitsrichtlinie suchen, das wir nicht haben, liegt das normalerweise daran, dass die Natur unseres Geschäfts es nicht erfordert, und wir sagen es ihnen. Das kann subjektiv sein, spielt aber keine Rolle - wir haben noch kein Geschäft verloren. Meistens fragen sie, weil sie jemand anderem erzählen müssen, dass sie es getan haben. Ein "NEIN" ist nicht unbedingt eine schlechte Sache oder ein Deal Breaker.

Wir haben gerade die SAS70 II-Zertifizierung durchlaufen, also geben wir jetzt nur das Bestätigungsschreiben des Prüfers ab und lassen dies für unsere schriftlichen Richtlinien sprechen.

Scott Kantner
quelle
0

Sie benötigen eine NDA, bevor Sie ihnen etwas zeigen. Dann würde ich sie kommen lassen und die Sicherheitsrichtlinien überprüfen, aber nie eine Kopie davon haben.

MathewC
quelle
Ich hätte Sie nicht abgewählt, aber während ich es nicht veröffentlichen würde, kommt es nicht in Frage, es mit Geschäftspartnern zu teilen. Während es nicht in jedem Unternehmen, in dem ich gearbeitet habe, gleich war, gibt es meine IT-Abteilung für die geschäftlichen Anforderungen. Ich kann mir vorstellen, dass das Teilen unseres IT-Sicherheitsplans dem Teilen eines Geschäftsprozesses oder eines Geschäftsplans ähnelt.
Reconbot
Ich habe die SAS70-Konformität durchlaufen und viele "Partner" würden nur eine Überprüfung zulassen. Es ist eine Verpflichtung, etwas in gedruckter Form zu haben, das besagt, dass Sie etwas tun und dann nicht, oder Sie haben etwas getan, das ein Problem verursacht hat. Es tut mir leid, dass Sie nicht zustimmen, aber ich habe meine Meinung aus Erfahrung abgegeben. Ich denke nicht, dass das eine Ablehnung verdient.
MathewC
Nur klar, ich habe dich nicht runtergewählt. Das war nicht nötig. Ihre Erfahrung ist genau das, worüber ich gerne hörte. Vielen Dank!
Reconbot
Wenn ich den Repräsentanten hätte, würde ich dich ablehnen. Sie müssen keine NDA unterzeichnen, nur um Ihre IT-Sicherheitsrichtlinie / InfoSec-Richtlinie anzuzeigen. (Es gibt einen Unterschied zwischen einer Richtlinie und einem Standard / Verfahren.) Es gibt viele triftige Gründe, um eine InfoSec-Richtlinie für Organisationen (Sox-Konformität, PCI-DSS usw.) anzuzeigen. Die meisten Organisationen machen sie vollständig öffentlich: obfs.uillinois.edu /manual/central_p/sec19-5.html
Josh Brower
Es ist eine Vorsichtsmaßnahme. Wenn du es nicht nehmen willst, um dich zu schützen, dann liegt es an dir. Ich habe einen gültigen Grund angegeben, warum Sie es nicht tun sollten. Und es tut mir leid, dass Sie nicht den Repräsentanten haben, um mich abzustimmen. Ich behalte mir meine Downstimmen für schlechte / gefährliche Antworten vor, nicht für Richtlinien, mit denen ich nicht einverstanden bin.
MathewC
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.