The SANS Institute(SANS)のテンプレートパッケージ(Sample Security Policies)をダウンロードすることができます。
Sample Computer UsageGuidelines. この文書は、<XYZ><XYZ><XYZ><XYZ><XYZ><XYZ>システム部門のサポートスタッフの権利とプライバシーを保護することを目的としています。
Acceptable Use Statement. 以下の文書は、(<XYZ><XYZ><XYZ><XYZ><XYZ><XYZ>のセキュリティオフィサーおよび/またはアシスタントの両方によって。
特別アクセスガイドライン同意書:この同意書は、NASコンピュータで特別アクセスを使用する際の多くの「やるべきこと」と「やってはいけないこと」を概説するものです。 特別なアクセスとは、以下の1つ以上のアカウントを使用する権限とパスワードを持っていることと定義されます。 () . NAS環境は非常に複雑でダイナミックです。
ネットワーク接続ポリシー。 このポリシーでは、コンピュータを<XYZ><XYZ>のネットワークに設置されたすべてのコンピュータは、情報処理設備コンピュータセキュリティオフィサー(DPICSO)の権限と責任の下にあり、そのため最低限のセキュリティ要件<>の規則とポリシーを満たさなければなりません。
セキュリティインシデントに対するエスカレーションの手順です。 この手順では、<XYZ>の施設内で発生した物理的・コンピュータ的なセキュリティ・インシデントに対して取るべき手順を説明します。 この手順で対象となる物理的なセキュリティインシデントは、窃盗(大・小)、建物への不正アクセス、財産の破壊(大・小)です。
インシデントハンドリング手順。 この文書は、コンピュータ・セキュリティ・インシデントに対処するための一般的なガイドラインと手順を提供しています。 この文書は、<XYZ>のサポート担当者に、セキュリティインシデントを発見した場合の対処法についてのガイドラインを提供することを目的としています。
Acceptable Encryption Policy (許容可能な暗号化に関するポリシー)。 このポリシーの目的は、暗号化の使用を、公の場で実質的な評価を受け、効果的に機能することが証明されているアルゴリズムに限定するガイダンスを提供することです。 さらに、このポリシーは、米国外での暗号化技術の普及と使用について、連邦規制が遵守され、法的権限が付与されていることを確認するための方向性を示しています。
アナログ/ISDN回線のセキュリティポリシー。 この文書では、<XYZ>のアナログおよびISDN回線の許容される使用と承認のポリシーと手続きについて説明しています。
Guidelineson Anti-Virus Process.
ApplicationService Providers (ASP) Policy. このドキュメントは、<XYZ>に従事するアプリケーションサービスプロバイダー(ASP)に対するInformationSecurityの要求を説明しています。
買収評価ポリシー。 企業買収に関するInfoSecの責任を確立し、InfoSecの買収アセスメントの最低セキュリティ要件を定義する。
ASPセキュリティ基準。 この文書は、アプリケーション サービス プロバイダー (ASP) が <XYZ>による使用を考慮するために満たすべき最低限のセキュリティ基準を定義しています。
AuditPolicy. <>のInfoSecチームのメンバーが、<XYZ>の任意のシステムに対してセキュリティ監査を実施する権限を提供する。
AutomaticallyForwarded Email Policy.
AutomaticallyForwarded Email Policy(電子メールの自動転送に関するポリシー)は、企業の機密情報の不正または不注意による漏洩を防ぐためのものです。 このポリシーは、<XYZ>のネットワーク上で実行されているデータベースにアクセスするプログラムが使用する、データベースのユーザー名とパスワード (すなわち、データベースの認証情報) を安全に保存および取得するための要件を示しています。
Dial-InAccess Policy。 このポリシーの目的は、<XYZ>の電子情報が、許可された人がダイアルイン接続を使って不用意に漏洩しないように保護することです。
DMZLabセキュリティポリシー。 このポリシーは、<XYZ>の「非武装地帯」(DMZ)にあるラボに配備されたすべてのネットワークと機器に対する情報セキュリティの要件を定めたものです。 この文書では、<XYZ><XYZ>のネットワークに接続する際のポリシーを説明しています。
Information Sensitivity Policyです。 情報感度ポリシーは、従業員がどのような情報を非従業員に開示できるか、また、適切な承認なしに<XYZ>の外部に開示すべきでない情報の相対的な感度を決定するのに役立つことを目的としています。
内部ラボのセキュリティポリシー。 このポリシーは、<XYZ><XYZ><XYZ>の利益がラボの活動から保護されること。
InternetDMZ Equipment Policyの略です。 このポリシーの目的は、<XYZ><XYZ>の企業のインターネット・ファイアウォールの外に位置する際に満たすべき基準を定義することです。
Lab Anti-Virus Policy.ウイルスの検出と予防を効果的に行うために、<XYZ>のラボのネットワークに接続されているすべてのコンピュータが満たすべき要件を設定する。
PasswordPolicy(パスワードポリシー)。 パスワードは、コンピュータセキュリティの重要な側面です。 パスワードは、ユーザーアカウントを保護する最前線です。 パスワードの選択を誤ると、<XYZ><XYZ><XYZ>のシステムにアクセスできる契約者やベンダーを含む)は、以下のような適切な手順を踏んでパスワードを選択し、安全に保つ責任があります。
リモートアクセスポリシー。 このポリシーの目的は、あらゆるホストから< XYZ><XYZ><XYZ>が損害を被る可能性を最小限に抑えるために設計されています。
リスクアセスメントの方針。 脆弱性の領域を決定し、適切な修復を開始する目的で、定期的に情報セキュリティのリスクアセスメント(RA)を実施する権限をInfoSecに与えること。
ルーター・セキュリティ・ポリシー。
サーバーのセキュリティポリシー。 このポリシーの目的は、<XYZ><XYZ>の専有情報や技術への不正アクセスを最小限に抑えることができます。
THIRD PARTY CONNECTION AGREEMENT. 本契約は、本契約の主題に関する当事者間の完全な合意であり、当事者間の以前の口頭または書面によるコミュニケーションに取って代わるものです。 このポリシーの目的は、<XYZ>の企業ネットワークへのリモートアクセスIPSecまたはL2TP Virtual Private Network (VPN)接続のガイドラインを提供することにあります。
Wireless Communication Policyの略。 このポリシーでは、<XYZ>のネットワークに、セキュリティ保護されていない無線通信機構を使ってアクセスすることを禁止しています。 このポリシーの基準を満たした無線システム、またはInfoSecによって独占的な免除を与えられた無線システムのみが、<XYZ>のネットワークへの接続を承認されます。
The SANS Institute(SANS) Template Packageからテンプレートパッケージ一式(SampleSecurity Policies)をダウンロードすることができます。