Puoi scaricare il pacchetto di modelli, (Esempio di politiche di sicurezza) dal SANS Institute(SANS) Template Package.
Campione di linee guida per l’uso del computer. Questo documento stabilisce le linee guida per l’uso del computer per il <XYZ> personale di supporto della Divisione Sistemi nel corso del loro lavoro sui <XYZ> sistemi informatici. Queste linee guida incorporano gli elementi del <XYZ> Accordo di Accesso Speciale della Divisione Sistemi e la Dichiarazione di Uso Accettabile delle <XYZ> Risorse Informatiche della Divisione Sistemi. Queste linee guida hanno lo scopo di proteggere i diritti e la privacy dei < clienti della Divisione Sistemi così come quelli del <XYZ> personale di supporto della Divisione Sistemi. Qualsiasi linea guida o politica della sede centrale avrà la precedenza su queste linee guida.
Dichiarazione di uso accettabile. Il seguente documento delinea le linee guida per l’utilizzo dei sistemi e delle strutture informatiche situate o gestite da (<XYZ>) La definizione di <XYZ> Divisione Sistemi e strutture informatiche includerà qualsiasi computer, server o rete forniti o supportati dalla <XYZ> Divisione Sistemi
Politica di accesso speciale. L’accesso speciale sui sistemi <XYZ> è mantenuto e monitorato, tramite il database di accesso speciale, sia da <XYZ> Operations che dal <XYZ> Responsabile della Sicurezza e/o assistente.
Accordo sulle linee guida per l’accesso speciale.Questo accordo delinea le molte cose da fare e da non fare nell’uso dell’accesso speciale sui computer NAS. L’accesso speciale è definito come avere il privilegio e la password per utilizzare uno o più dei seguenti account: () . L’ambiente NAS è molto complesso e dinamico.
Politica di connessione alla rete. Questa politica descrive i requisiti e i vincoli per collegare un computer al lavoro <XYZ>. Tutti i computer installati sulla<XYZ> rete ricadono sotto l’autorità e la responsabilità del Data Processing Installation Computer Security Officer (DPICSO) e come tali devono soddisfare i requisiti minimi di sicurezza <nome azienda> regolamenti e politiche.
Procedure di evacuazione per incidenti di sicurezza. Questa procedura descrive i passi che devono essere fatti per incidenti di sicurezza fisica e informatica che si verificano all’interno della <XYZ> struttura. Gli incidenti di sicurezza fisica coperti da questa procedura sono: furto (maggiore e minore), accesso illegale all’edificio e distruzione di proprietà (maggiore o minore).
Procedura di gestione degli incidenti. Questo documento fornisce alcune linee guida e procedure generali per trattare gli incidenti di sicurezza informatica. Il documento ha lo scopo di fornire <XYZ> al personale di supporto alcune linee guida su cosa fare se scoprono un incidente di sicurezza.
Politica di crittografia accettabile. Lo scopo di questa politica è quello di fornire una guida che limiti l’uso della crittografia a quegli algoritmi che hanno ricevuto una sostanziale revisione pubblica e che hanno dimostrato di funzionare efficacemente. Inoltre, questa politica fornisce la direzione per assicurare che i regolamenti federali siano seguiti e che l’autorità legale sia garantita per la diffusione e l’uso delle tecnologie di crittografia al di fuori degli Stati Uniti.
Politica di sicurezza delle linee analogiche/ISDN. Questo documento spiega <XYZ> l’uso accettabile delle linee analogiche e ISDN e le politiche e procedure di approvazione. Questa politica copre due usi distinti delle linee analogiche/ISDN: linee che devono essere collegate al solo scopo di inviare e ricevere fax, e linee che devono essere collegate ai computer.
Guidelineson Anti-Virus Process. Processi raccomandati per prevenire problemi di virus.
ApplicationService Providers (ASP) Policy. Questo documento descrive i requisiti di InformationSecurity dei fornitori di servizi applicativi (ASP) che si impegnano con<XYZ>.
Politica di valutazione delle acquisizioni. Per stabilire le responsabilità InfoSec riguardo alle acquisizioni aziendali, e definire i requisiti minimi di sicurezza di una valutazione di acquisizione InfoSec.
Standard di sicurezza ASP. Questo documento definisce i criteri minimi di sicurezza che un Application Service Provider (ASP) deve soddisfare per essere considerato per l’uso da <XYZ>.
AuditPolicy. Per fornire l’autorità ai membri del <Company Name> teamInfoSec di condurre un audit di sicurezza su qualsiasi sistema presso <XYZ>.
Politica di inoltro automatico delle e-mail. Impedisce la divulgazione non autorizzata o inavvertita di informazioni sensibili dell’azienda.
Politica sulle password del database. Questa politica stabilisce i requisiti per memorizzare e recuperare in modo sicuro i nomi utente e le password del database (cioè le credenziali del database) per l’uso da parte di un programma che accederà ad un database in esecuzione su una delle < reti dellaXYZ>.
Politica di accesso. Lo scopo di questa politica è quello di proteggere < le informazioni elettroniche dellaXYZ> da essere inavvertitamente compromesse dal personale autorizzato che utilizza una connessione dial-in.
Politica di sicurezza del DMZLab. Questa politica stabilisce i requisiti di sicurezza delle informazioni per tutte le reti e le attrezzature distribuite nei laboratori <XYZ> situati nella “De-Militarized Zone” (DMZ).
Politica Extranet. Questo documento descrive la politica in base alla quale le organizzazioni di terze parti si connettono alle reti <XYZ> allo scopo di trattare affari relativi alle <XYZ>.
Politica sulla sensibilità delle informazioni. La politica di sensibilità delle informazioni ha lo scopo di aiutare i dipendenti a determinare quali informazioni possono essere divulgate ai non dipendenti, così come la sensibilità relativa delle informazioni che non dovrebbero essere divulgate al di fuori della <XYZ> senza adeguata autorizzazione.
Politica di sicurezza interna del laboratorio. Questa politica stabilisce i requisiti di sicurezza delle informazioni per <XYZ> laboratori per assicurare che <XYZ> informazioni e tecnologie riservate non siano compromesse, e che i servizi di produzione e altri < interessi diXYZ> siano protetti dalle attività di laboratorio.
Politica sulle attrezzature di InternetDMZ. Lo scopo di questa politica è quello di definire gli standard da rispettare per tutte le attrezzature di proprietà e/o gestite dalle <XYZ> situate al di fuori<XYZ> dei firewall Internet aziendali.
Lab Anti-Virus Policy.Stabilire i requisiti che devono essere soddisfatti da tutti i computer collegati alle <XYZ> reti di laboratorio per garantire un efficace rilevamento e prevenzione dei virus.
PasswordPolicy. Le password sono un aspetto importante della sicurezza del computer. Sono la prima linea di protezione per gli account utente. Una password scelta male può risultare nella compromissione dell’intera rete aziendale della <XYZ>. Come tale, tutti i<XYZ> dipendenti (compresi gli appaltatori e fornitori con accesso a<XYZ> sistemi) sono responsabili di adottare le misure appropriate, come indicato di seguito, per selezionare e proteggere le loro password.
Politica di accesso remoto. Lo scopo di questa politica è quello di definire gli standard per la connessione alla rete di <XYZ> da qualsiasi host. Questi standard sono progettati per ridurre al minimo la potenziale esposizione della <XYZ> da danni che possono derivare da un uso non autorizzato delle <XYZ> risorse.
Politica di valutazione del rischio. Per autorizzare InfoSec ad eseguire valutazioni periodiche dei rischi per la sicurezza delle informazioni (RAs) allo scopo di determinare le aree di vulnerabilità, e per avviare le opportune misure correttive.
Politica di sicurezza del router. Questo documento descrive una configurazione minima di sicurezza richiesta per tutti i router e gli switch che si collegano a una rete di produzione o utilizzati in una capacità di produzione presso o per conto di <XYZ>.
Politica di sicurezza dei server. Lo scopo di questa politica è quello di stabilire degli standard per la configurazione di base delle apparecchiature server interne che sono di proprietà e/o gestite da <XYZ>. L’attuazione efficace di questa politica ridurrà al minimo l’accesso non autorizzato alle <XYZ> informazioni e tecnologie di proprietà.
ACCORDO DI COLLEGAMENTO CON TERZE PARTI. Il presente accordo è l’accordo completo tra le parti in merito all’oggetto del presente accordo e sostituisce qualsiasi precedente comunicazione orale o scritta tra le parti.
Politica di rete privata virtuale (VPN). Lo scopo di questa politica è quello di fornire linee guida per l’accesso remoto IPSec o L2TP Virtual Private Network (VPN) connessioni alla <XYZ> rete aziendale.
Politica di comunicazione wireless. Questa politica vieta l’accesso alle reti <XYZ> tramite meccanismi di comunicazione wireless non sicuri. Solo i sistemi wireless che soddisfano i criteri di questa politica o che hanno ottenuto una deroga esclusiva da InfoSec sono approvati per la connettività alle reti di <XYZ>.
È possibile scaricare il templatepackage completo, (SampleSecurity Policies) da The SANS Institute(SANS) Template Package.