De regler som krävs för att upprätthålla informationssäkerhet identifieras och definieras av en kombination av faktorer, inklusive:
* Säkerhetspolicy: Det här är dokument på hög nivå som upprättar en organisations övergripande strategi för informationssäkerhet. De definierar mål, principer och ansvar relaterade till att skydda informationstillgångar. Denna policy hänvisar ofta till och innehåller andra, mer detaljerade, standarder och riktlinjer.
* Standarder: Dessa är obligatoriska regler och specifikationer som definierar hur säkerhetskontroller implementeras. De tillhandahåller specifika tekniska krav och förfaranden för att uppnå de mål som fastställts i säkerhetspolicyn. Till exempel kan en standard diktera minimikraven för lösenordskomplexitet.
* Riktlinjer: Detta är rekommendationer och bästa praxis som ger råd om hur man implementerar säkerhetskontroller effektivt. Till skillnad från standarder är riktlinjer inte obligatoriska, men de erbjuder värdefull vägledning för att uppnå en högre säkerhetsnivå. De kan erbjuda föredragna metoder eller föreslå lösningar på vanliga problem.
* Förfaranden: Dessa är steg-för-steg-instruktioner som beskriver hur man utför specifika uppgifter relaterade till informationssäkerhet. De beskriver ofta de åtgärder som krävs för att svara på säkerhetsincidenter, implementera säkerhetskontroller eller hantera åtkomsträttigheter.
* Lagar och förordningar: Dessa är juridiskt bindande regler och förordningar som styr hanteringen av känslig information. Överensstämmelse med relevanta lagar och förordningar (som GDPR, HIPAA, CCPA) är avgörande för organisationer som hanterar personuppgifter eller skyddad hälsoinformation. Dessa kommer att påverka säkerhetspolicyn, standarderna och förfarandena på plats.
* Branschens bästa praxis: Dessa är vanligtvis accepterade tekniker och metoder som har visat sig vara effektiva för att skydda informationstillgångar. Efter bästa praxis säkerställer anpassning till branschstandarder och minskar risken för sårbarheter. Ramverk som NIST Cybersecurity Framework erbjuder vägledning inom detta område.
Sammanfattningsvis definierar och identifierar ett omfattande informationssäkerhetsprogram de nödvändiga reglerna genom en kombination av policyer på hög nivå, detaljerade standarder, riktlinjer för bästa praxis, procedurinstruktioner och lagkrav. Dessa arbetar tillsammans för att skapa en robust och effektiv säkerhetsställning.
