Pode descarregar o pacote modelo, (Exemplo de Políticas de Segurança) do SANS Institute(SANS) Template Package.
Amostras de Guias de Utilização de Computadores. Este documento estabelece directrizes de utilização de computadores para o <XYZ>O pessoal de apoio da Divisão de Sistemas no exercício das suas funções em <XYZ>Sistemas Informáticos. Estas directrizes incorporam os elementos do <XYZ> Acordo de Acesso Especial da Divisão de Sistemas e a Declaração de Utilização Aceitável de <XYZ> Recursos Informáticos da Divisão de Sistemas. Estas directrizes destinam-se a proteger os direitos e privacidade de <XYZ> clientes da Divisão de Sistemas, bem como os de <XYZ> pessoal de apoio da Divisão de Sistemas. Quaisquer directrizes ou políticas da Sede da Empresa terão precedência sobre estas directrizes.
p>Declaração de Utilização Aceitável. O documento que se segue delineia directrizes para a utilização dos sistemas e instalações informáticas localizadas ou operadas por (<XYZ>) A definição de <XYZ> Divisão de Sistemas e instalações informáticas incluirá qualquer computador, servidor ou rede fornecida ou suportada pelo <XYZ> Divisão de Sistemas
Special AccessPolicy. Acesso especial em <XYZ> os sistemas são mantidos e monitorizados, através da base de dados de Acesso Especial, por ambos <XYZ> Operações e o <XYZ> Oficial de Segurança e/ou assistente.
Acordo de Directrizes Especiais de Acesso. Este acordo delineia os muitos que fazem e não fazem uso de acesso especial em computadores NAS. O acesso especial é definido como tendo o privilégio e a senha para utilizar uma ou mais das seguintes contas: () . O ambiente NAS é muito complexo e dinâmico.
Política de ligação à rede. Esta política descreve os requisitos e restrições para anexar um computador ao <XYZ> trabalho. Todos os computadores instalados na rede <XYZ> são da autoridade e responsabilidade do Responsável pela Instalação de Processamento de Dados de Segurança Informática (DPICSO) e como tal devem cumprir os requisitos mínimos de segurança < nome da empresa> regulamentos e políticas.
Procedimentos de escalonamento para incidentes de segurança. Este procedimento descreve os passos que devem ser dados para incidentes de segurança física e informática que ocorrem dentro da instalação <XYZ>. Os incidentes de segurança física abrangidos por este procedimento são: roubo (maior e menor), acesso ilegal a edifícios e destruição de propriedade (maior ou menor).
Procedimento de Tratamento de Incidentes. Este documento fornece algumas orientações gerais e procedimentos para lidar com incidentes de segurança informática. O documento destina-se a fornecer <XYZ> pessoal de apoio com algumas directrizes sobre o que fazer se descobrirem um incidente de segurança.
P>Política de Criptografia Aceitável. O objectivo desta política é fornecer orientações que limitem a utilização da encriptação aos algoritmos que tenham recebido uma revisão pública substancial e que comprovadamente funcionem eficazmente. Além disso, esta política fornece orientações para assegurar que os regulamentos federais sejam seguidos, e que seja concedida autoridade legal para a divulgação e utilização de tecnologias de encriptação fora dos Estados Unidos da América.
Analog/ISDN Line Security Policy. Este documento explica <XYZ> políticas e procedimentos de utilização e aprovação analógica e da linha RDIS aceitável. Esta política abrange dois usos distintos de linhas analógicas/RDIS: linhas que devem ser ligadas exclusivamente para efeitos de envio e recepção de fax, e linhas que devem ser ligadas a computadores.
p>Guidelineson Anti-Virus Process. Processos recomendados para prevenir problemas de vírus.
ApplicationService Providers (ASP) Policy. Este documento descreve os requisitos da InformationSecurity dos Provedores de Serviços de Aplicação (ASPs) que se comprometem com<XYZ>.
p>P>Política de Avaliação de Aquisições. Estabelecer responsabilidades InfoSec relativamente a aquisições corporativas, e definir os requisitos mínimos de segurança de uma avaliação de aquisição InfoSec.
ASP Normas de Segurança. Este documento define os critérios mínimos de segurança que um Application Service Provider (ASP) deve cumprir para ser considerado para utilização por <XYZ>.
AuditPolicy. Para fornecer a autoridade aos membros da equipa <Nome da Empresa>’sInfoSec para realizar uma auditoria de segurança em qualquer sistema em <XYZ>.
p>P>Política de Correio Electrónico Encaminhado Automaticamente. Evitar a divulgação não autorizada ou inadvertida de informação sensível da empresa.
DB Política de Senha. Esta política estabelece os requisitos para armazenamento e recuperação seguros de nomes de utilizador e palavras-passe de bases de dados (ou seja, credenciais de bases de dados) para utilização por um programa que acederá a uma base de dados em execução numa das redes de <XYZ>.
Dial-InAccess Policy. O objectivo desta política é proteger <XYZ>’selectronic information from being inadvertently compromted by authorizedpersonnel using a dial-in connection.
DMZLab Política de Segurança. Esta política estabelece requisitos de segurança da informação para todas as redes e equipamentos instalados em <XYZ> laboratórios localizados na “Zona De-Militarizada” (DMZ).
P>Política de Extranet. Este documento descreve a política segundo a qual organizações terceiras se ligam a <XYZ> redes para fins de transacções comerciais relacionadas com <XYZ>.
P>Política de Sensibilidade da Informação. A Política de Sensibilidade da Informação destina-se a ajudar os funcionários a determinar que informação pode ser divulgada a não funcionários, bem como a relativa sensibilidade da informação que não deve ser divulgada fora de <XYZ> sem a devida autorização.
P>Política de Segurança do Laboratório Interno. Esta política estabelece requisitos de segurança de informação para <XYZ> laboratórios para assegurar que <XYZ> informações e tecnologias confidenciais não sejam comprometidas, e que os serviços de produção e outros <XYZ> interesses são protegidos das actividades de laboratório.
InternetDMZ Política de equipamento. O objectivo desta política é definir normas a serem cumpridas por todo o equipamento propriedade e/ou operado por <XYZ> localizado no exterior<XYZ> firewalls da Internet corporativa.
P>Política de Anti-Vírus do laboratório. Para estabelecer requisitos que devem ser cumpridos por todos os computadores ligados a <XYZ> redes de laboratório para assegurar a detecção e prevenção eficaz de vírus.
PasswordPolicy. As palavras-passe são um aspecto importante da segurança informática. Elas são a linha da frente da protecção das contas de utilizador. Uma palavra-passe mal escolhida pode resultar no compromisso de <XYZ> toda a rede corporativa. Como tal, todos<XYZ> empregados (incluindo contratantes e vendedores com acesso a<XYZ> sistemas) são responsáveis por tomar as medidas apropriadas, conforme abaixo indicado, para seleccionar e assegurar as suas palavras-passe.
P>Política de Acesso Remoto. O objectivo desta política é definir padrões de ligação à rede <XYZ> a partir de qualquer anfitrião. Estas normas são concebidas para minimizar a exposição potencial a <XYZ> de danos que possam resultar do uso não autorizado de <XYZ> recursos.
P>Política de Avaliação de Riscos. Dar poderes à InfoSec para realizar avaliações periódicas dos riscos de segurança da informação (RAs) com o objectivo de determinar as áreas de vulnerabilidade, e iniciar uma remediação adequada.
P>Política de Segurança do Roteiro. Este documento descreve uma configuração de segurança mínima necessária para todos os routers e switches ligados a uma rede de produção ou utilizados numa capacidade de produção em ou em nome de <XYZ>.
P>Política de Segurança do Servidor. O objectivo desta política é estabelecer normas para a configuração base do equipamento interno do servidor que é propriedade e/ou operado por <XYZ>. A implementação efectiva desta política irá minimizar o acesso não autorizado a <XYZ> informação e tecnologia proprietária.
ACORDO DE CONEXÃO DE TERCEIROS. O presente Acordo é o acordo completo entre as partes relativamente ao objecto do presente Acordo e substitui qualquer comunicação prévia oral ou escrita entre as partes.
P>Política de Rede Privada Virtual (VPN). O objectivo desta política é fornecer directrizes para ligações de Acesso Remoto IPSec ou L2TP Rede Privada Virtual (VPN) à rede <XYZ> rede corporativa.
P>Política de comunicação sem fios. Esta política proíbe o acesso a <XYZ> redes através de mecanismos de comunicação sem fios não seguros. Apenas os sistemas sem fios que satisfaçam os critérios desta política ou que tenham sido objecto de uma renúncia exclusiva por parte da InfoSec são aprovados para conectividade a redes <XYZ>.
P>Pode descarregar o pacote de modelos completo, (Exemplo de Políticas de Segurança) a partir do Pacote de Modelos do Instituto SANS (SANS).