Puede descargar el paquete de plantillas, (Ejemplos de Políticas de Seguridad) de The SANS Institute(SANS) Template Package.
Muestra de directrices de uso de ordenadores. Este documento establece las directrices de uso del ordenador para el personal de apoyo de la División de Sistemas de <XYZ> en el curso de sus funciones de trabajo en los sistemas informáticos de <XYZ>. Estas directrices incorporan los elementos del <XYZ> Acuerdo de Acceso Especial de la División de Sistemas y la Declaración de Uso Aceptable de los Recursos Informáticos de la División de Sistemas de <XYZ>. Estas directrices pretenden proteger los derechos y la privacidad de los clientes de la División de Sistemas de <XYZ>, así como los del personal de apoyo de la División de Sistemas de <XYZ>. Cualquier directriz o política de la Sede Corporativa tendrá prioridad sobre estas directrices.
Declaración de uso aceptable. El siguiente documento describe las directrices para el uso de los sistemas e instalaciones informáticos ubicados en u operados por (<XYZ>) La definición de <XYZ> División de Sistemas e instalaciones informáticas incluirá cualquier ordenador, servidor o red proporcionado o soportado por la <XYZ> División de Sistemas
Política de acceso especial. El acceso especial en los sistemas de <XYZ> se mantiene y supervisa, a través de la base de datos de Accesos Especiales, tanto por <XYZ> Operaciones como por el <XYZ> Oficial de Seguridad y/o asistente.
Acuerdo de Directrices de Acceso Especial.Este acuerdo describe los numerosos aspectos que se deben y no se deben utilizar para el acceso especial en los ordenadores del NAS. El acceso especial se define como tener el privilegio y la contraseña para utilizar una o más de las siguientes cuentas: () . El entorno NAS es muy complejo y dinámico.
Política de conexión a la red. Esta política describe los requisitos y las restricciones para conectar un ordenador al <XYZ> trabajo. Todos los ordenadores instalados en la<XYZ> red están bajo la autoridad y responsabilidad del Responsable de Seguridad Informática de la Instalación de Proceso de Datos (DPICSO) y como tal deben cumplir con los requisitos mínimos de seguridad <nombre de la empresa> normativa y políticas.
Procedimientos de escalamiento para incidentes de seguridad. Este procedimiento describe los pasos que deben seguirse ante los incidentes de seguridad física e informática que se produzcan dentro de las instalaciones de <XYZ>. Los incidentes de seguridad física contemplados en este procedimiento son: robo (mayor y menor), acceso ilegal al edificio y destrucción de la propiedad (mayor o menor).
Procedimiento de gestión de incidentes. Este documento proporciona algunas directrices y procedimientos generales para tratar los incidentes de seguridad informática. El documento pretende proporcionar al personal de soporte de <XYZ> algunas pautas sobre qué hacer si descubren un incidente de seguridad.
Política de cifrado aceptable. El propósito de esta política es proporcionar una guía que limite el uso de la encriptación a aquellos algoritmos que han recibido una revisión pública sustancial y que han demostrado funcionar eficazmente. Además, esta política proporciona orientación para garantizar el cumplimiento de la normativa federal y la concesión de autoridad legal para la difusión y el uso de tecnologías de cifrado fuera de los Estados Unidos.
Política de seguridad de las líneas analógicas/ISDN. Este documento explica <XYZ> las políticas y procedimientos de uso aceptable y aprobación de líneas analógicas y RDSI. Esta política cubre dos usos distintos de las líneas analógicas/RDSI: las líneas que se van a conectar con el único propósito de enviar y recibir faxes, y las líneas que se van a conectar a los ordenadores.
Directrices sobre el proceso antivirus. Procesos recomendados para prevenir problemas de virus.
Política de Proveedores de Servicios de Aplicaciones (ASP). Este documento describe los requisitos de InformationSecurity a los Proveedores de Servicios de Aplicaciones (ASP) que colaboran con<XYZ>.
Política de evaluación de adquisiciones. Establecer las responsabilidades InfoSec en relación con las adquisiciones corporativas, y definir los requisitos mínimos de seguridad de una evaluación de adquisiciones InfoSec.
Normas de seguridad ASP. Este documento define los criterios mínimos de seguridad que un Proveedor de Servicios de Aplicaciones (ASP) debe cumplir para ser considerado para su uso por <XYZ>.
Política de Auditoría. Proporcionar la autoridad para que los miembros del equipo de <Nombre de la empresa>InfoSec puedan realizar una auditoría de seguridad en cualquier sistema de <XYZ>.
Política de correo electrónico reenviado automáticamente. Para evitar la divulgación no autorizada o inadvertida de información sensible de la empresa.
Política de contraseñas de la BD. Esta política establece los requisitos para almacenar y recuperar de forma segura los nombres de usuario y las contraseñas de la base de datos (es decir, las credenciales de la base de datos) para su uso por un programa que accederá a una base de datos que se ejecuta en una de las redes de <XYZ>.
Política de acceso telefónico. El propósito de esta política es proteger la información <XYZ>’selectrónica de ser comprometida inadvertidamente por el personal autorizado que utiliza una conexión de acceso telefónico.
Política de seguridad del laboratorio DMZ. Esta política establece los requisitos de seguridad de la información para todas las redes y equipos desplegados en los laboratorios de <XYZ> situados en la «Zona Desmilitarizada» (DMZ).
Política de Extranet. Este documento describe la política bajo la cual las organizaciones de terceros se conectan a las redes de <XYZ> con el fin de realizar transacciones relacionadas con <XYZ>.
Política de sensibilidad de la información. La Política de sensibilidad de la información tiene por objeto ayudar a los empleados a determinar qué información puede ser revelada a personas que no son empleados, así como la sensibilidad relativa de la información que no debe ser revelada fuera de <XYZ> sin la debida autorización.
Política de seguridad interna del laboratorio. Esta política establece los requisitos de seguridad de la información para <XYZ> los laboratorios para asegurar que <XYZ> la información confidencial y las tecnologías no se vean comprometidas, y que los servicios de producción y otros <XYZ> intereses están protegidos de las actividades del laboratorio.
Política de equipamiento de InternetDMZ. El propósito de esta política es definir las normas que deben cumplir todos los equipos que son propiedad y/o están operados por <XYZ> ubicados fuera<XYZ> de los firewalls corporativos de Internet.
Política antivirus del laboratorio.Establecer los requisitos que deben cumplir todos los equipos conectados a <XYZ> las redes del laboratorio para garantizar la detección y prevención eficaz de virus.
Política de contraseñas. Las contraseñas son un aspecto importante de la seguridad informática. Son la primera línea de protección de las cuentas de usuario. Una contraseña mal elegida puede poner en peligro toda la red corporativa de <XYZ>. Por ello, todos los empleados de<XYZ> (incluidos los contratistas y proveedores con acceso a los sistemas de<XYZ>) son responsables de tomar las medidas apropiadas, como se indica a continuación, para seleccionar y asegurar sus contraseñas.
Política de acceso remoto. El propósito de esta política es definir los estándares para conectarse a la red de <XYZ> desde cualquier host. Estas normas están diseñadas para minimizar la exposición potencial de <XYZ> a los daños que puedan derivarse del uso no autorizado de los recursos de <XYZ>.
Política de evaluación de riesgos. Facultar a InfoSec para que realice periódicamente evaluaciones de riesgos de seguridad de la información (RAs) con el fin de determinar las áreas de vulnerabilidad, e iniciar la remediación adecuada.
Política de seguridad del router. Este documento describe una configuración de seguridad mínima requerida para todos los routers y switches que se conectan a una red de producción o se utilizan en una capacidad de producción en o en nombre de <XYZ>.
Política de seguridad del servidor. El propósito de esta política es establecer normas para la configuración base de los equipos de servidores internos que son propiedad y/o están operados por <XYZ>. La aplicación efectiva de esta política minimizará el acceso no autorizado a <XYZ> información y tecnología de su propiedad.
ACUERDO DE CONEXIÓN DE TERCEROS. El presente Acuerdo es el acuerdo completo entre las partes que lo suscriben en relación con el objeto del mismo y sustituye a cualquier comunicación previa, oral o escrita, entre las partes.
Política de la Red Privada Virtual (VPN). El propósito de esta política es proporcionar directrices para las conexiones de Red Privada Virtual (VPN) de Acceso Remoto IPSec o L2TP a la <XYZ> red corporativa.
Política de comunicación inalámbrica. Esta política prohíbe el acceso a las redes de <XYZ> a través de mecanismos de comunicación inalámbrica no seguros. Solo los sistemas inalámbricos que cumplen los criterios de esta política o a los que InfoSec ha concedido una exención exclusiva están aprobados para la conectividad a las redes de <XYZ>.
Puede descargar el paquete de plantillas completo, (SampleSecurity Policies) de The SANS Institute(SANS) Template Package.