LUK
22-10-2008, 22:13
Vía ISO27002.es (http://iso27000.wik.is/) he podido dar con la Web Open Directory - Computers: Security: Policy: Sample Policies (http://www.dmoz.org/Computers/Security/Policy/Sample_Policies/) que contiene un buen catálogo de documentos sobre políticas de seguridad.
Algunos de los documentos que se pueden encontrar son:
Politicas de Anti-Virus
Políticas de Application Service Provider
Políticas de Backup
Políticas de Certificación and Acreditación
Políticas de Criptografía
Políticas de Clasificación de Información y de dueños de datos
Políticas de Base de Datos
Políticas de Disaster Recovery Plan
Políticas de DMZ
Políticas de uso del correo electrónico
Políticas sobre leyes y ética
Políticas del uso de Extranet
Políticas de Privacidad (HSPD-12) Privacy Policy - Sample privacy policy including Privacy Act systems of records notices, Privacy Act statements and a privacy impact assessment, designed to satisfy the requirements of HSPD-12 “Policy for a Common Identification Standard for Federal Employees and Contractors”
Políticas de Identificación and Autenticación
Políticas del uso de Internet
Políticas del uso del Modem
Políticas del uso de la red (Network)pported by subsidiary policies. [PDF]
Políticas de Password
Políticas de Personal
Políticas de seguridad física
Políticas de Privacidad
Políticas de Acceso remoto
Políticas de utilización de recursos
Políticas de auditoría
Políticas de IT en general
Políticas de acuerdos con terceras partes
Políticas del uso de VPN
Políticas del uso de Wireless
En Guía para la elaboración del marco normativo de Seguridad ISO 27002 (http://sgsi-iso27001.blogspot.com/2008/01/gua-para-la-elaboracin-del-marco.html) ya comenté las diferencias entre Política, Norma y Procedimiento aunque en ingles el término "policy" suele tener un carácter más general. Es habitual encontrar "policies" para todo, aunque muchas veces estos documentos tienen el objetivo de establecer regulaciones y por tanto deberían entenderse como normas.
Aumenta esta confusión además que en la norma ISO 27002 aparezca como control en el punto 5.1.1. la famosa "política de seguridad de la información".
En cualquier caso, el catálogo de documentación contiene una buena recopilación de diferentes enfoques a la hora de establecer un marco normativo, lo que suele venir bien cuando se anda intentando escribir estas cosas.
Como reflexión final, todo documento que intenta ser una política, norma o procedimiento tiene que tener un objetivo base "Que pueda ser algo cumplible". No se trata por tanto de hacer algo que quede bien o que sea completo, sino algo que sea real, asumible y cumplido por el área regulada.
Fuente:
http://sgsi-iso27001.blogspot.com/2008/10/modelos-de-polticas-de-seguridad.html
http://sgsi-iso27001.blogspot.com/2008/01/gua-para-la-elaboracin-del-marco.html
http://www.dmoz.org/Computers/Security/Policy/Sample_Policies/
Algunos de los documentos que se pueden encontrar son:
Politicas de Anti-Virus
Políticas de Application Service Provider
Políticas de Backup
Políticas de Certificación and Acreditación
Políticas de Criptografía
Políticas de Clasificación de Información y de dueños de datos
Políticas de Base de Datos
Políticas de Disaster Recovery Plan
Políticas de DMZ
Políticas de uso del correo electrónico
Políticas sobre leyes y ética
Políticas del uso de Extranet
Políticas de Privacidad (HSPD-12) Privacy Policy - Sample privacy policy including Privacy Act systems of records notices, Privacy Act statements and a privacy impact assessment, designed to satisfy the requirements of HSPD-12 “Policy for a Common Identification Standard for Federal Employees and Contractors”
Políticas de Identificación and Autenticación
Políticas del uso de Internet
Políticas del uso del Modem
Políticas del uso de la red (Network)pported by subsidiary policies. [PDF]
Políticas de Password
Políticas de Personal
Políticas de seguridad física
Políticas de Privacidad
Políticas de Acceso remoto
Políticas de utilización de recursos
Políticas de auditoría
Políticas de IT en general
Políticas de acuerdos con terceras partes
Políticas del uso de VPN
Políticas del uso de Wireless
En Guía para la elaboración del marco normativo de Seguridad ISO 27002 (http://sgsi-iso27001.blogspot.com/2008/01/gua-para-la-elaboracin-del-marco.html) ya comenté las diferencias entre Política, Norma y Procedimiento aunque en ingles el término "policy" suele tener un carácter más general. Es habitual encontrar "policies" para todo, aunque muchas veces estos documentos tienen el objetivo de establecer regulaciones y por tanto deberían entenderse como normas.
Aumenta esta confusión además que en la norma ISO 27002 aparezca como control en el punto 5.1.1. la famosa "política de seguridad de la información".
En cualquier caso, el catálogo de documentación contiene una buena recopilación de diferentes enfoques a la hora de establecer un marco normativo, lo que suele venir bien cuando se anda intentando escribir estas cosas.
Como reflexión final, todo documento que intenta ser una política, norma o procedimiento tiene que tener un objetivo base "Que pueda ser algo cumplible". No se trata por tanto de hacer algo que quede bien o que sea completo, sino algo que sea real, asumible y cumplido por el área regulada.
Fuente:
http://sgsi-iso27001.blogspot.com/2008/10/modelos-de-polticas-de-seguridad.html
http://sgsi-iso27001.blogspot.com/2008/01/gua-para-la-elaboracin-del-marco.html
http://www.dmoz.org/Computers/Security/Policy/Sample_Policies/