U kunt het sjabloonpakket, (Sample Security Policies) downloaden van The SANS Institute(SANS) Template Package.
Sample Computer UsageGuidelines. Dit document bevat richtlijnen voor computergebruik voor het ondersteunend personeel van de <XYZ> Systems Division tijdens het uitvoeren van hun taken op <XYZ> Computer Systems. Deze richtlijnen omvatten de elementen van de <XYZ> Systems Division Special Access Agreement en de verklaring inzake aanvaardbaar gebruik van <XYZ> Systems Division Computing Resources. Deze richtlijnen zijn bedoeld om de rechten en privacy van <XYZ> Systems Division klanten te beschermen, evenals die van <XYZ> Systems Division ondersteunend personeel. Eventuele richtlijnen of beleidslijnen van het hoofdkantoor hebben voorrang boven deze richtlijnen.
Acceptable Use Statement. Het volgende document bevat richtlijnen voor het gebruik van de computersystemen en -faciliteiten die zich bevinden bij of worden beheerd door (<XYZ>) De definitie van <XYZ> Systems Division en computerfaciliteiten omvat elke computer, server of netwerk geleverd of ondersteund door de <XYZ> Systems Division
Speciaal toegangsbeleid. Speciale toegang op <XYZ> systemen wordt onderhouden en bewaakt, via de Speciale Toegang database, door zowel <XYZ> Operations als de <XYZ> Security Officer en/ofassistant.In deze overeenkomst worden de vele do’s en do not’s beschreven van het gebruik van speciale toegang op NAS-computers. Speciale toegang wordt gedefinieerd als het hebben van het privilege en wachtwoord om een of meer van de volgende accounts te gebruiken: () . De NAS-omgeving is zeer complex en dynamisch.
Netwerkverbindingsbeleid. Dit beleid beschrijft de vereisten en beperkingen voor het koppelen van een computer aan het <XYZ> werk. Alle computers die op het<XYZ> netwerk zijn geïnstalleerd, vallen onder het gezag en de verantwoordelijkheid van de Data Processing Installation Computer Security Officer (DPICSO) en moeten als zodanig voldoen aan de minimale beveiligingseisen <bedrijfsnaam> regelgeving en beleid.
Escalatieprocedures voor beveiligingsincidenten. Deze procedure beschrijft de stappen die moeten worden ondernomen voor fysieke en computerbeveiligingsincidenten die zich binnen de <XYZ>-faciliteit voordoen. De fysieke veiligheidsincidenten die onder deze procedure vallen zijn: diefstal (groot en klein), illegale toegang tot het gebouw en vernieling van eigendom (groot of klein).
Handelingsprocedure bij incidenten. Dit document bevat een aantal algemene richtlijnen en procedures voor de afhandeling van computerbeveiligingsincidenten. Het document is bedoeld om <XYZ> ondersteunend personeel te voorzien van enkele richtlijnen over wat te doen als zij een beveiligingsincident ontdekken.
Acceptabel encryptiebeleid. Het doel van dit beleid is richtlijnen te verschaffen die het gebruik van encryptie beperken tot die algoritmen die substantieel openbaar zijn beoordeeld en waarvan is bewezen dat ze effectief werken. Bovendien biedt dit beleid richtlijnen om ervoor te zorgen dat de federale voorschriften worden nageleefd en wettelijke bevoegdheid wordt verleend voor de verspreiding en het gebruik van encryptietechnologieën buiten de Verenigde Staten.
Analoog/ISDN-lijnbeveiligingsbeleid. Dit document verklaart <XYZ> het beleid en de procedures voor aanvaardbaar gebruik en goedkeuring van analoge en ISDN-lijnen. Dit beleid heeft betrekking op twee verschillende vormen van gebruik van analoge/ISDN-lijnen: lijnen die uitsluitend mogen worden aangesloten voor het verzenden en ontvangen van faxberichten, en lijnen die mogen worden aangesloten op computers.
Guidelineson Anti-Virus Process. Aanbevolen processen om virusproblemen te voorkomen.
ApplicationService Providers (ASP) Policy. Dit document beschrijft de eisen die InformationSecurity stelt aan Application Service Providers (ASP’s) die zaken doen met<XYZ>.
Acquisitiebeoordelingsbeleid. Het vaststellen van InfoSec-verantwoordelijkheden met betrekking tot bedrijfsovernames, en het definiëren van de minimale beveiligingsvereisten van een InfoSec-acquisitiebeoordeling.
Beveiligingsnormen van de ASP. Dit document definieert de minimale veiligheidscriteria waaraan een Application Service Provider (ASP) moet voldoen om in aanmerking te komen voor gebruik door <XYZ>.
AuditPolicy. Om leden van <Bedrijfsnaam>’sInfoSec-team de bevoegdheid te geven een beveiligingsaudit uit te voeren op elk systeem bij <XYZ>.
AutomatischDoorgestuurde E-mail Beleid. Voorkomt onbevoegde of onbedoelde openbaarmaking van gevoelige bedrijfsinformatie.
DB Password Policy. Dit beleid bevat de vereisten voor het veilig opslaan en ophalen van databasegebruikersnamen en -wachtwoorden (d.w.z. databasegegevens) voor gebruik door een programma dat toegang heeft tot een database die op een van de netwerken van <XYZ> wordt uitgevoerd.
Dial-InAccess Beleid. Het doel van dit beleid is om <XYZ>’selectronische informatie te beschermen tegen onopzettelijke compromittering door geautoriseerd personeel dat gebruik maakt van een inbelverbinding.
DMZLab Beveiligingsbeleid. Dit beleid stelt eisen aan de informatiebeveiliging voor alle netwerken en apparatuur in <XYZ> labs in de “De-Militarized Zone” (DMZ).
Extranet Beleid. Dit document beschrijft het beleid waaronder organisaties van derden verbinding maken met <XYZ> netwerken met als doel zaken te doen die gerelateerd zijn aan <XYZ>.
Beleid inzake informatiegevoeligheid. Het Informatiegevoeligheidsbeleid is bedoeld om werknemers te helpen bepalen welke informatie kan worden onthuld aan niet-werknemers, evenals de relatieve gevoeligheid van informatie die niet mag worden onthuld buiten <XYZ> zonder de juiste autorisatie.
Internal Lab Security Policy. Dit beleid stelt informatiebeveiligingsvereisten vast voor <XYZ> laboratoria om te verzekeren dat <XYZ> vertrouwelijke informatie en technologieën niet worden gecompromitteerd, en dat productiediensten en andere <XYZ> belangen worden beschermd tegen labactiviteiten.
InternetDMZ Apparatuurbeleid. Het doel van dit beleid is het vastleggen van normen waaraan alle apparatuur moet voldoen die eigendom is van en/of beheerd wordt door <XYZ> en die zich buiten<XYZ>’s bedrijfs Internet firewalls bevindt.
Lab Anti-Virus Beleid.Vaststellen van eisen waaraan moet worden voldaan door alle computers die zijn aangesloten op <XYZ> lab netwerken om effectieve virusdetectie en -preventie te garanderen.
PasswordPolicy. Wachtwoorden zijn een belangrijk aspect van computerbeveiliging. Zij vormen de eerste lijn van bescherming voor gebruikersaccounts. Een slecht gekozen wachtwoord kan ertoe leiden dat <XYZ>’s gehele bedrijfsnetwerk in gevaar komt. Als zodanig zijn alle<XYZ> werknemers (inclusief aannemers en verkopers met toegang tot<XYZ> systemen) verantwoordelijk voor het nemen van de juiste stappen, zoals hieronder beschreven, om hun wachtwoorden te selecteren en te beveiligen.
Beleid inzake toegang op afstand. Het doel van dit beleid is om standaarden te definiëren voor het verbinden met <XYZ>’s netwerk vanaf elke host. Deze standaarden zijn ontworpen om de potentiële blootstelling aan <XYZ> van schade die kan voortvloeien uit ongeoorloofd gebruik van <XYZ> middelen te minimaliseren.
Risicobeoordelingsbeleid. InfoSec de bevoegdheid geven om periodieke informatiebeveiligingsrisicobeoordelingen (RA’s) uit te voeren met als doel kwetsbare plekken te bepalen en de juiste herstelmaatregelen te initiëren.
Routerbeveiligingsbeleid. Dit document beschrijft een vereiste minimale beveiligingsconfiguratie voor alle routers en switches die verbinding maken met een productienetwerk of in een productiecapaciteit worden gebruikt bij of namens <XYZ>.
Serverbeveiligingsbeleid. Het doel van dit beleid is normen vast te stellen voor de basisconfiguratie van interne serverapparatuur die eigendom is van en/of beheerd wordt door <XYZ>. Effectieve implementatie van dit beleid zal onbevoegde toegang tot <XYZ> bedrijfseigen informatie en technologie minimaliseren.
DIRD PARTY CONNECTIE OVEREENKOMST. Deze Overeenkomst is de volledige overeenkomst tussen de partijen met betrekking tot het onderwerp van deze Overeenkomst en vervangt alle eerdere mondelinge of schriftelijke communicatie tussen de partijen.
Virtueel Privé Netwerk (VPN) Beleid. Het doel van dit beleid is om richtlijnen te geven voor Remote Access IPSec of L2TP Virtual Private Network (VPN) verbindingen met het <XYZ> bedrijfsnetwerk.
Beleid inzake draadloze communicatie. Dit beleid verbiedt toegang tot <XYZ> netwerken via onbeveiligde draadloze communicatiemechanismen. Alleen draadloze systemen die voldoen aan de criteria van dit beleid of waarvoor een exclusieve ontheffing is verleend door InfoSec, worden goedgekeurd voor connectiviteit met <XYZ>’s netwerken.
U kunt het volledige sjabloonpakket, (SampleSecurity Policies) downloaden van The SANS Institute(SANS) Template Package.