合作伙伴想要一份我们书面 IT 安全政策的副本，但我不知道该怎么做

Question

我的公司正在与另一家公司合作，作为合同的一部分，他们要求提供我公司书面 IT 安全政策的副本。我没有书面的 IT 安全政策，我不确定我想给他们什么。我们是一家微软商店。我们有更新计划、限制访问帐户来管理服务器、防火墙、ssl 证书，并且我们不时运行 Microsoft 基线安全分析器。

我们配置服务和用户帐户，因为我们认为大部分都是安全可靠的（当您无法完全控制所运行的软件时，这很困难），但我无法详细介绍每个细节，每个服务和服务器都不同。我得到了更多关于他们想要什么的信息，但我觉得他们好像在钓鱼。

我的问题是，这是询问这些信息的标准做法吗？（老实说，我并不反对它，但以前从未发生过。）如果这是标准的，是否有我应该呈现的标准格式和预期的详细程度？

Answer 1

他们不需要您的整个内部 IT 政策的副本，但我认为他们可能会寻求类似的东西 - 有人肯定需要为您提供有关合同的足够信息，以确定您需要提供多少详细信息，以及关于什么。我同意约瑟夫的意见 - 如果他们出于法律/合规原因需要信息，则需要提供法律意见。

背景资料

1) 您的员工是否在美国境外？

2) 贵公司是否制定了正式的、文件化的信息安全政策？

3) 您的信息安全政策是否涵盖信息和数据的处理和分类？

4) 在您经营所在的州，您目前正在解决任何未解决的监管问题吗？如果是，请解释。

一般安全

1) 您是否有针对员工和承包商的信息安全意识培训计划？

2) 您目前使用以下哪些方法来验证和授权访问您的系统和应用程序：

• 由操作系统执行
• 由商业产品执行
• 单点登录
• 客户端数字证书
• 其他两因素身份验证
• 自家种植
• 没有适当的身份验证机制

3) 谁授予员工、承包商、临时工、供应商和业务合作伙伴的访问权限？

4) 您是否允许您的员工（包括承包商、临时工、供应商等）远程访问您的网络？

5) 您是否有信息安全事件响应计划？如果否，如何处理信息安全事件？

6) 您是否制定了处理发送给公司外部的电子邮件消息中的内部或机密信息的政策？

7) 您是否至少每年审查一次您的信息安全政策和标准？

8) 采取了哪些方法和物理控制措施来防止未经授权访问贵公司的安全区域？

• 锁定房间中的网络服务器
• 对受安全标识（访问卡、生物识别等）限制的服务器的物理访问
• 视频监控
• 登录日志和程序
• 在安全区域始终可见的安全徽章或身份证
• 保安员
• 没有任何
• 其他，请提供其他详细信息

9) 请描述您针对所有环境的密码策略？IE。长度、强度和老化

10) 您是否有灾难恢复 (DR) 计划？如果是，您多久测试一次？

11) 您是否有业务连续性 (BC) 计划？如果是，您多久测试一次？

12) 如果需要，您是否会向我们提供您的测试结果（BC 和 DR）的副本？

架构和系统审查

1) [公司] 的数据和/或应用程序是否会在专用或共享服务器上存储和/或处理？

2）如果在共享服务器上，[公司]的数据将如何与其他公司的数据进行分割？

3) 将提供什么类型的公司间连接？

• 互联网
• 专线/租用线路（例如，T1）
• 拨号
• VPN（虚拟专用网络）
• 终端服务
• 没有任何
• 其他，请提供其他详细信息

4) 这个网络连接会被加密吗？如果是，将使用什么加密方法？

5) 是否需要任何客户端代码（包括 ActiveX 或 Java 代码）才能使用该解决方案？如果是，请描述。

6) 您是否有防火墙来控制对您的 Web 服务器的外部网络访问。如果否，此服务器位于何处？

7) 您的网络是否包括用于 Internet 访问应用程序的 DMZ？如果没有，这些应用程序位于何处？

8) 您的组织是否采取措施防止拒绝服务中断？请描述这些步骤

9) 您是否进行了以下任何信息安全审查/测试

• 内部系统/网络扫描
• 内部管理的自我评估和/或尽职调查
• 内部代码审查/同行审查
• 外部第 3 方渗透测试/研究
• 其他，请提供详细信息 这些测试多久执行一次？

10) 您的组织内正在积极使用以下哪些信息安全实践

• 访问控制列表
• 数字证书 - 服务器端
• 数字证书 - 客户端
• 数字签名
• 基于网络的入侵检测/预防
• 基于主机的入侵检测/预防
• 入侵检测/预防特征文件的预定更新
• 入侵监控 24x7
• 持续病毒扫描
• 病毒签名文件的预定更新
• 渗透研究和/或测试
• 没有任何

11) 您是否有加固或保护操作系统的标准？

12) 您是否有将更新和修补程序应用到您的操作系统的时间表？如果不是，请告诉我们您如何确定应用补丁和关键更新的内容和时间

13) 为防止电源或网络故障，您是否为关键交易系统维护了完全冗余的系统？

网络服务器（如果适用）

1) 将用于访问应用程序/数据的 URL 是什么？

2) Web 服务器是什么操作系统？（请提供操作系统名称、版本和服务包或补丁级别。）

3）什么是网络服务器软件？

应用程序服务器（如果适用）

1) 应用服务器是什么操作系统？（请提供操作系统名称、版本和服务包或补丁级别。）

2）什么是应用服务器软件？

3) 您是否使用基于角色的访问控制？如果是，如何为角色分配访问级别？

4) 您如何确保适当的授权和职责分离？

5) 您的应用程序是否采用多级用户访问/安全？如果是，请提供详细信息。

6) 您的应用程序中的活动是否由第三方系统或服务监控？如果是，请向我们提供公司和服务名称以及正在监控的信息

数据库服务器（如果适用）

1) 数据库服务器是什么操作系统？（请提供操作系统名称、版本和服务包或补丁级别。）

2) 正在使用哪些数据库服务器软件？

3）数据库是否被复制？

4) 数据库服务器是集群的一部分吗？

5) 采取了什么措施（如果有的话）将 [公司] 的数据与其他公司的数据隔离开来？

6) [公司] 的数据存储在磁盘上时会加密吗？如果是，请描述加密方法

7) 如何获取源数据？

8) 如何处理数据完整性错误？

审计和日志记录

1) 您是否在以下位置登录客户访问权限：

• 网络服务器？
• 应用服务器？
• 数据库服务器？

2) 是否审查了日志？如果是，请说明流程以及审核频率？

3) 您是否提供系统和资源来维护和监控审计日志和事务日志？如果是，您保留哪些日志以及将它们存储多长时间？

4) 您是否允许 [公司] 审查您的系统日志，因为它们与我们公司有关？

隐私

1) 不再需要时用于解密/删除/丢弃[公司]数据的流程和程序是什么？

2) 您是否曾在任何时候错误或意外披露客户信息？
如果是，自那以后您采取了哪些纠正措施？

3) 承包商（非员工）是否可以访问敏感或机密信息？如果是，他们是否签署了保密协议？

4) 您是否有被授权访问和维护您的网络、系统或应用程序的供应商？如果是，这些供应商是否签订了提供保密、背景调查和保险/损失赔偿的书面合同？

5) 您的数据是如何分类和保护的？

操作

1) 您备份的频率和级别是多少？

2) 备份的现场保留期是多久？

3) 您的备份以什么格式存储？

4) 您是否将备份存储在异地位置？如果是，保留期限是多久？

5) 你加密你的数据备份吗？

6) 你如何确保只执行有效的生产程序？