Partner chce kopii naszej pisemnej polityki bezpieczeństwa IT i nie jestem pewien, co robić [zamknięte]

23

Moja firma współpracuje z inną firmą i w ramach umowy prosi o kopię pisemnej Polityki bezpieczeństwa IT mojej firmy. Nie mam pisemnej polityki bezpieczeństwa IT i nie jestem do końca pewien, co chcę im przekazać. Jesteśmy sklepem Microsoft. Mamy harmonogramy aktualizacji, konta z ograniczonym dostępem do zarządzania serwerami, zaporami ogniowymi, certyfikatami ssl i od czasu do czasu uruchamiamy Microsoft Baseline Security Analyzer.

Konfigurujemy usługi i konta użytkowników, ponieważ naszym zdaniem są one w większości bezpieczne (jest to trudne, gdy nie masz pełnej kontroli nad tym, jakie oprogramowanie uruchamiasz), ale nie mogę zagłębić się w każdy szczegół, każda usługa i serwer jest inny. Dostaję więcej informacji o tym, czego chcą, ale czuję się, jakby byli na wyprawie wędkarskiej.

Moje pytania brzmią: czy jest to standardowa praktyka w proszeniu o te informacje? (Nie jestem temu szczery, ale nigdy wcześniej tak się nie zdarzyło). A jeśli jest to standard, czy istnieje standardowy format i oczekiwany poziom szczegółowości, który powinienem przedstawić?

best-practices Rebbot
źródło
1
Okazuje się, że staramy się o certyfikację c-tpat. Musimy jedynie przestrzegać dwóch rzeczy. 1) Ochrona hasłem 2) Odpowiedzialność ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/... ) Niesamowita ilość dobrych odpowiedzi zachęciła mnie do myślenia, zacząłem projekt formalnego planu korzystając z wielu twoich porad, nie dla certyfikacji, ale dla nas samych.
Rebbot
To pytanie jest nie na temat w ramach obecnych zasad aktualności.
HopelessN00b

Odpowiedzi:

44

Nie potrzebują kopii całej twojej wewnętrznej polityki IT, ale myślę, że mogą mieć coś podobnego do tego - ktoś zdecydowanie musi uzyskać wystarczającą ilość informacji o umowie, aby określić, ile szczegółów musisz podać i o czym. Zgadzam się z Josephem - jeśli potrzebują informacji ze względów prawnych / zgodności, konieczne są informacje prawne.

Informacje ogólne

1) Czy któryś z twoich pracowników znajduje się poza USA?

2) Czy Twoja firma ma sformalizowane i udokumentowane zasady bezpieczeństwa informacji?

3) Czy przetwarzanie i klasyfikacja informacji i danych są objęte twoimi zasadami bezpieczeństwa informacji?

4) Czy są jakieś nierozwiązane problemy regulacyjne, które obecnie rozwiązujesz w stanie (stanach), w którym prowadzisz działalność? Jeśli tak, proszę o wytłumaczenie.

Ogólne bezpieczeństwo

1) Czy prowadzisz program szkoleniowy dotyczący świadomości bezpieczeństwa pracowników i wykonawców?

2) Z której z poniższych metod uwierzytelniania i autoryzacji dostępu do systemów i aplikacji obecnie korzystasz:

  • Wykonywany przez system operacyjny
  • Wykonywany przez produkt komercyjny
  • Pojedyncze logowanie
  • Cyfrowe certyfikaty po stronie klienta
  • Inne uwierzytelnianie dwuskładnikowe
  • Domowe
  • Brak mechanizmu uwierzytelniania

3) Kto zezwala na dostęp dla pracowników, kontrahentów, pracowników tymczasowych, dostawców i partnerów biznesowych?

4) Czy zezwalasz swoim pracownikom (w tym wykonawcom, pracownikom tymczasowym, sprzedawcom itp.) Na zdalny dostęp do twoich sieci?

5) Czy masz plan reagowania na incydent związany z bezpieczeństwem informacji? Jeśli nie, w jaki sposób obsługiwane są incydenty związane z bezpieczeństwem informacji?

6) Czy masz politykę, która dotyczy przetwarzania wewnętrznych lub poufnych informacji w wiadomościach e-mail na zewnątrz Twojej firmy?

7) Czy przeglądasz swoje zasady i standardy bezpieczeństwa informacji przynajmniej raz w roku?

8) Jakie metody i kontrole fizyczne są stosowane, aby zapobiec nieautoryzowanemu dostępowi do bezpiecznych obszarów Twojej firmy?

  • Serwery sieciowe w zamkniętych pokojach
  • Fizyczny dostęp do serwerów ograniczony identyfikacją bezpieczeństwa (karty dostępu, dane biometryczne itp.)
  • Monitoring wideo
  • Logi i procedury logowania
  • Identyfikatory bezpieczeństwa lub dowody osobiste widoczne przez cały czas w bezpiecznych obszarach
  • Strażnicy
  • Żaden
  • Inne, proszę podać dodatkowe szczegóły

9) Opisz swoją politykę dotyczącą haseł dla wszystkich środowisk? To znaczy. Długość, wytrzymałość i starzenie

10) Czy masz plan odzyskiwania po awarii (DR)? Jeśli tak, jak często to testujesz?

11) Czy masz plan ciągłości działania (BC)? Jeśli tak, jak często to testujesz?

12) Czy dostarczysz nam kopię wyników testów (BC i DR) na żądanie?

Przegląd architektury i systemu

1) Czy dane i / lub aplikacje [Firmy] będą przechowywane i / lub przetwarzane na dedykowanym lub współdzielonym serwerze?

2) W jaki sposób na [współdzielonym serwerze] dane [Firmy] zostaną podzielone na dane innych firm?

3) Jakie typy łączności między firmami zostaną zapewnione?

  • Internet
  • Linia prywatna / dzierżawiona (np. T1)
  • Wykręcić numer
  • VPN (wirtualna sieć prywatna)
  • Usługa terminalowa
  • Żaden
  • Inne, proszę podać dodatkowe szczegóły

4) Czy ta łączność sieciowa będzie szyfrowana? Jeśli tak, jakie metody szyfrowania zostaną zastosowane?

5) Czy do korzystania z rozwiązania wymagany jest kod po stronie klienta (w tym kod ActiveX lub Java)? Jeśli tak, proszę opisać.

6) Czy masz zaporę (firewall), aby kontrolować dostęp sieci zewnętrznej do twojego serwera (serwerów) WWW? Jeśli nie, gdzie znajduje się ten serwer (y)?

7) Czy Twoja sieć zawiera strefę DMZ zapewniającą dostęp do aplikacji do Internetu? Jeśli nie, gdzie znajdują się te aplikacje?

8) Czy Twoja organizacja podejmuje kroki w celu zapewnienia ochrony przed awariami typu Denial-of-Service? Opisz te kroki

9) Czy wykonujesz którykolwiek z poniższych przeglądów / testów bezpieczeństwa informacji

  • Wewnętrzne skany systemu / sieci
  • Wewnętrznie zarządzane samooceny i / lub przeglądy due diligence
  • Recenzje kodu wewnętrznego / recenzje użytkowników
  • Zewnętrzne testy / badania penetracyjne stron trzecich
  • Inne, proszę podać szczegóły Jak często te testy są przeprowadzane?

10) Które z poniższych praktyk bezpieczeństwa informacji są aktywnie stosowane w Twojej organizacji

  • Listy kontroli dostępu
  • Certyfikaty cyfrowe - po stronie serwera
  • Certyfikaty cyfrowe - po stronie klienta
  • Podpisy cyfrowe
  • Sieciowe wykrywanie / zapobieganie włamaniom
  • Wykrywanie / zapobieganie włamaniom na podstawie hosta
  • Zaplanowane aktualizacje plików sygnatur wykrywania / zapobiegania włamaniom
  • Monitorowanie włamań 24x7
  • Ciągłe skanowanie w poszukiwaniu wirusów
  • Zaplanowane aktualizacje plików sygnatur wirusów
  • Badania i / lub testy penetracyjne
  • Żaden

11) Czy masz standardy dotyczące hartowania lub zabezpieczania systemów operacyjnych?

12) Czy masz harmonogram stosowania aktualizacji i poprawek dla systemów operacyjnych? Jeśli nie, powiedz nam, jak określasz, co i kiedy zastosować łatki i aktualizacje krytyczne

13) Czy w celu zapewnienia ochrony przed awarią zasilania lub awarii sieci utrzymujesz w pełni redundantne systemy dla swoich kluczowych systemów transakcyjnych?

Serwer WWW (jeśli dotyczy)

1) Jaki adres URL będzie używany do uzyskania dostępu do aplikacji / danych?

2) Jakie systemy operacyjne są serwerami WWW? (Podaj nazwę systemu operacyjnego, wersję i dodatek Service Pack lub poziom poprawki).

3) Co to jest oprogramowanie serwera WWW?

Serwer aplikacji (jeśli dotyczy)

1) Jakie systemy operacyjne są serwerami aplikacji? (Podaj nazwę systemu operacyjnego, wersję i dodatek Service Pack lub poziom poprawki).

2) Co to jest oprogramowanie serwera aplikacji?

3) Czy korzystasz z kontroli dostępu opartej na rolach? Jeśli tak, w jaki sposób poziomy dostępu są przypisane do ról?

4) W jaki sposób zapewniasz odpowiednie upoważnienie i podział obowiązków?

5) Czy twoja aplikacja wykorzystuje wielopoziomowy dostęp / bezpieczeństwo użytkowników? Jeśli tak, proszę podać szczegóły.

6) Czy działania w Twojej aplikacji są monitorowane przez system lub usługę strony trzeciej? Jeśli tak, podaj nam nazwę firmy i usługi oraz informacje, które są monitorowane

Serwer bazy danych (jeśli dotyczy)

1) Jakie systemy operacyjne są serwerami bazy danych? (Podaj nazwę systemu operacyjnego, wersję i dodatek Service Pack lub poziom poprawki).

2) Jakie oprogramowanie serwera baz danych jest używane?

3) Czy baza danych jest replikowana?

4) Czy serwer DB jest częścią klastra?

5) Co zrobiono (jeśli w ogóle) w celu odizolowania danych [Firmy] od innych firm?

6) Czy dane [Firmy] zapisane na dysku będą szyfrowane? Jeśli tak, proszę opisać metodę szyfrowania

7) W jaki sposób przechwytywane są dane źródłowe?

8) Jak obsługiwane są błędy integralności danych?

Audyt i rejestrowanie

1) Czy logujesz dostęp klienta do:

  • Serwer www?
  • Serwer aplikacji?
  • Serwer bazy danych?

2) Czy logi są sprawdzane? Jeśli tak, proszę wyjaśnić proces i jak często są one sprawdzane?

3) Czy zapewniasz systemy i zasoby do utrzymywania i monitorowania dzienników kontroli i dzienników transakcji? Jeśli tak, jakie dzienniki przechowujesz i jak długo je przechowujesz?

4) Czy zezwolisz [firmie] na przeglądanie logów systemowych, które dotyczą naszej firmy?

Prywatność

1) Jakie są procesy i procedury stosowane do odtajnienia / usunięcia / odrzucenia danych [Firmy], gdy nie są już potrzebne?

2) Czy kiedykolwiek w sposób błędny lub przypadkowy ujawniłeś informacje o klientach?
Jeśli tak, jakie środki naprawcze wprowadziłeś od tego czasu?

3) Czy kontrahenci (niebędący pracownikami) mają dostęp do poufnych lub poufnych informacji? Jeśli tak, to czy podpisali umowę o zachowaniu poufności?

4) Czy masz dostawców upoważnionych do uzyskiwania dostępu do sieci, systemów lub aplikacji i zarządzania nimi? Jeśli tak, to czy ci dostawcy na podstawie pisemnych umów przewidują poufność, sprawdzenie przeszłości oraz ubezpieczenie / odszkodowanie od straty?

5) W jaki sposób Twoje dane są klasyfikowane i zabezpieczane?

Operacje

1) Jaka jest częstotliwość i poziom twoich kopii zapasowych?

2) Jaki jest okres przechowywania kopii zapasowych na miejscu?

3) W jakim formacie są przechowywane kopie zapasowe?

4) Czy przechowujesz kopie zapasowe w lokalizacji poza witryną? Jeśli tak, jaki jest okres przechowywania?

5) Czy szyfrujesz swoje kopie zapasowe danych?

6) W jaki sposób zapewniasz wykonywanie tylko prawidłowych programów produkcyjnych?

Kara Marfia
źródło
Kara to jedna z najbardziej przemyślanych i szczegółowych odpowiedzi, jakie kiedykolwiek otrzymałem. Zgaduję, że zrobiłeś to kilka razy.
recbot
1
Jestem przyzwyczajony do ich wypełniania, tak. ;) Podejrzewam, że organizują je ogromne komitety w ciemnych, wypełnionych dymem pokojach ... Cieszę się, że to pomaga, tho. Rozdanie, które otrzymałeś, jest ogromnym powodem istnienia SF.
Kara Marfia,
1
„Czy któryś z twoich pracowników znajduje się poza USA?” -- zabawny. Z mojego punktu widzenia bardziej prawdopodobne jest, że pracownik będzie miał siedzibę w USA . Chodzi o to, że jesteśmy zobowiązani przez prawo, aby nie pozwolić nikomu na dostęp do danych lub serwerów (bez zgody sędziego), a nasi prawnicy stwierdzili, że dokładnie ten wymóg nie może być spełniony, jeśli jakiś pracownik z USA ma dostęp do tych danych: )
serverhorror
4

Poproszono mnie o te informacje tylko podczas pracy z regulowanymi branżami (bankowość) lub rządem.

Nie jestem świadomy „standardowego formatu” jako takiego, ale wtedy zawsze otrzymywałem szablon, który mój Klient otrzymał od audytora jako „miejsce początkowe”, kiedy musiałem to zrobić.

Prawdopodobnie zacznę od niektórych wyszukiwań w Google i zobaczę, co mogę znaleźć na przykładowych dokumentach dotyczących zasad. SANS ( http://www.sans.org ) jest również kolejnym dobrym miejscem do rozpoczęcia poszukiwań.

Jeśli chodzi o poziom szczegółowości, powiedziałbym, że prawdopodobnie należy go dostosować do odbiorców i celu. Zachowałbym szczegóły na wysokim poziomie, chyba że poproszono mnie o podanie szczegółów na niskim poziomie.

Evan Anderson
źródło
Zawsze używałem szablonu NIST do szybkiego tworzenia polityki bezpieczeństwa, ale nie mam już kopii, a szybki google nie może już znaleźć oryginałów (myślę, że NIST teraz ładuje). Rząd Kalifornii ma kilka dobrych zasobów, w tym szablony, na stronie oispp.ca.gov/government/Library/samples.asp powyższa sugestia SANS Institute jest również świetnym źródłem informacji.
hromanko
4

Istnieje kilka różnych powodów, dla których firma może chcieć zobaczyć Twoją politykę bezpieczeństwa. Jednym z przykładów jest to, że branża kart płatniczych (Visa, MasterCard, AmEx itp.) Wymaga, aby firmy przetwarzające karty kredytowe były zgodne z branżą kart płatniczych - standardem bezpieczeństwa danych (PCI-DSS). Część PCI-DSS wymaga, aby partnerzy firmy również przestrzegali PCI-DSS (co oczywiście wymaga pisemnych zasad).

Szczerze mówiąc, jeśli udzielam ci dostępu do twojej sieci przez VPN lub bezpośrednie połączenie, to chcę wiedzieć, że masz pewien poziom bezpieczeństwa, w przeciwnym razie otwieram się na wszelkiego rodzaju potencjalne problemy.

Dlatego posiadanie certyfikatu PCI lub ISO 27001 może być pod tym względem dobrodziejstwem, ponieważ możesz poinformować zewnętrzną organizację, że masz załatwione sprawy do pewnego poziomu. Jeśli Twoje zasady są bardzo ogólne, które powinny być, może nie być problemem dostarczenie kopii partnerowi. Jeśli jednak chcą zobaczyć określone procedury lub informacje dotyczące bezpieczeństwa, nie pozwolę, aby opuściło moją witrynę.

Kara ma doskonałe wskazówki na temat tego, co chcesz uwzględnić w swoich polisach. Oto przykład polityki.

IT-001 Zasady tworzenia kopii zapasowych / odzyskiwania systemu

I. Wprowadzenie W tej sekcji omówiono, jak ważne są kopie zapasowe, jak planujesz testować i przechowywać kopie poza siedzibą.

II. Cel A. Ta polityka obejmie częstotliwość, przechowywanie i odzyskiwanie B. Ta polityka obejmuje dane, systemy operacyjne i oprogramowanie aplikacji C. Wszystkie procedury tworzenia kopii zapasowych / odzyskiwania muszą być udokumentowane i przechowywane w bezpiecznym miejscu

III. Zakres W tej sekcji zauważono, że zasady obejmują wszystkie serwery i zasoby danych w Twojej firmie (oraz wszelkie inne określone obszary, takie jak biura satelitarne).

IV. Role i obowiązki A. Menedżer - decyduje o tym, co ma zostać wykonane, określa częstotliwość, nośnik i procedury, a także sprawdza, czy mają miejsce kopie zapasowe B. Administrator systemu - Uruchamia kopie zapasowe, sprawdza kopie zapasowe, testuje kopie zapasowe, transportuje kopie zapasowe, przywraca testy, utrzymuje rotacja kopii zapasowych dziadek / ojciec / syn C. Użytkownicy - ma dane wejściowe do kopii zapasowej, musi umieścić dane w miejscu wyznaczonym do utworzenia kopii zapasowej

V. Opis zasad Kopia zapasowa - wszystkie rzeczy, które chcesz powiedzieć o kopiach zapasowych w ogólnym znaczeniu Odzyskiwanie - wszystkie rzeczy, które chcesz powiedzieć o odzyskiwaniu w ogólnym sensie

Szczegółowe instrukcje krok po kroku powinny znajdować się w osobnym dokumencie dotyczącym procedur / instrukcji pracy. Jeśli jednak masz bardzo małą organizację, nie możesz oddzielić zasad od procedur.

Mam nadzieję, że to pomaga i dostarcza użytecznych informacji.

David Yu
źródło
+1, ponieważ chciałbym postawić na fakt, że jest to umowa, w którą może być zaangażowana PCI. (karta kredytowa PCI, a nie stare złącze magistrali). jeśli tak jest, nie chcą pełnej specyfikacji, tylko rzeczy, które wpływają na ich zgodność z PCI.
Matt
1

Niedawno musiałem napisać jeden z nich i nie było to zbyt trudne. To prawda, że ​​punkt Evena na temat krawiectwa jest ważny, ponieważ niektóre szczegóły wymagają więcej pracy niż inne. NIST posiada również dużą bibliotekę bezpłatnych publikacji internetowych opisujących środki bezpieczeństwa do różnych celów, możesz użyć ich do pomysłów, w których nie masz pewności, jaki rodzaj / zakres bezpieczeństwa jest wymagany.

Oto kilka ogólnych kategorii, które należy uwzględnić na wysokim poziomie:

  • Zasady przechowywania danych
  • Procedury tworzenia kopii zapasowych / dostęp do kopii zapasowych
  • Wewnętrzne ograniczenia dostępu (fizyczne i wirtualne)
    • Sieć (bezprzewodowa, przewodowa)
    • Sprzęt (serwery, stacje robocze, pomieszczenia biurowe, off-site / telepraca)
    • Hosting / Data Center (ważne, jeśli przechowujesz dane partnerów)
    • System operacyjny
  • Badanie personelu

Ta lista może zostać rozszerzona lub zmniejszona w oparciu o teraz, że wiele informacji jest potrzebnych. Ponadto nie musisz się martwić, jeśli nie masz jeszcze tego wszystkiego na swoim miejscu. Radzę trzymać się opisywania swoich „zamierzonych” zasad, ale przygotuj się na ich natychmiastowe rozszerzenie o brakujące elementy. Przygotuj się również na wezwanie, niezależnie od tego, jak mało prawdopodobne (prawnicy nie będą się tym później przejmować).

Dana Zdrowa
źródło
1

Poradziłbym się z radcą prawnym twojej firmy w tej sprawie, zwłaszcza że jest to część umowy.

Joseph
źródło
1

Aby zaspokoić potrzebę musisz wysłać kopię dokumentu polityki bezpieczeństwa byłoby trochę przeciw bezpieczeństwa. Napisałem naszą politykę bezpieczeństwa i usunąłem większość dokumentów z szablonów SAN. Inne, w których możesz wpisać określone wyszukiwania zasad w Google. Sposób, w jaki radzimy sobie z podmiotem zewnętrznym, który chce zobaczyć zasady, pozwala im usiąść w biurze naszego dyrektora operacyjnego i pozwolić im je przeczytać. Nasza polityka polega na tym, że polityka nigdy nie opuszcza budynku, a dokładniej naszego wzroku. Mamy umowy, na które każda strona trzecia musi wyrazić zgodę, pracując z określonymi zdolnościami, które wymagałyby dostępu do naszych informacji. I są one rozpatrywane indywidualnie. Ta polityka może nie pasować do Twojego środowiska, podobnie jak wszystkie polityki w sieci SAN ”

TechGuyTJ
źródło
Cieszę się, że nie jestem jedyny z tym doświadczeniem.
MathewC,
To było interesujące, ale wspaniałe doświadczenie. Moi użytkownicy mogą już mnie nie lubić, ale jeśli spojrzysz na to z perspektywy statystycznej. Czytałem w tygodniu lub w tygodniu informacyjnym, że gdzieś w sąsiedztwie 70% wszystkich firm, które doświadczyły naruszenia bezpieczeństwa, nie odzyskuje i w ciągu 2 lat od stwierdzenia naruszenia zamkną swoje drzwi.
TechGuyTJ
1

Czy to standardowa praktyka: moje doświadczenie jest takie dla niektórych regulowanych branż, takich jak bankowość, żywność, energia itp.

Czy istnieje standardowy format: istnieje wiele standardów, ale jeśli w umowie nie określono standardu (na przykład ISO), należy umownie OK podać dowolny wybrany format.

To nie powinno być trudne. Masz już standard łatania i hasła, więc dokument powinien określać, co to jest standard i jak zapewnić jego przestrzeganie. Nie wpadnij w pułapkę spędzania zbyt dużej ilości czasu na upiększaniu. Wystarczy prosty dokument.

Jeśli umowa określa stosowanie określonego standardu, należy zwrócić się o profesjonalną pomoc w celu zapewnienia zgodności z umową.

Shawn Anderson
źródło
1

Często otrzymujemy to pytanie, ponieważ jesteśmy placówką hostingową. Najważniejsze jest to, że nie dajemy tego, chyba że wiemy dokładnie , czego szukają z góry. Jeśli szukają czegoś w naszej polityce bezpieczeństwa, czego nie mamy, dzieje się tak zwykle dlatego, że charakter naszej firmy tego nie wymaga, a my im to mówimy. To może być subiektywne, ale to nie ma znaczenia - z tego powodu jeszcze nie straciliśmy żadnej firmy. Najczęściej pytają, ponieważ muszą powiedzieć komuś innemu, że tak zrobili. Odpowiedź „NIE” niekoniecznie musi być złą rzeczą lub złamaniem umowy.

Właśnie przeszliśmy przez certyfikację SAS70 II, więc teraz po prostu przekazujemy opinię biegłego rewidenta i pozwalamy, aby przemawiało to za naszymi pisemnymi zasadami.

Scott Kantner
źródło
0

Będziesz potrzebować NDA, zanim cokolwiek im pokażesz. Potem pozwoliłbym im przyjść i przejrzeć politykę bezpieczeństwa, ale nigdy nie mam jej kopii.

MathewC
źródło
Nie głosowałbym na ciebie, ale choć nie opublikowałbym go, dzielenie się nim z partnerami biznesowymi nie jest wykluczone. Chociaż nie było tak samo w każdej firmie, w której pracowałem, mój dział IT istnieje dla potrzeb biznesowych ponad wszelkie inne. Wyobrażam sobie, że udostępnianie naszego planu bezpieczeństwa IT jest podobne do udostępniania procesu biznesowego lub biznesplanu.
recbot
Przeszedłem przez zgodność z SAS70 i wielu „partnerów” pozwoliłoby tylko na sprawdzenie. Obowiązkiem jest wydrukować coś, co mówi, że coś robisz, a potem nie robisz lub zrobiłeś coś, co spowodowało problem. Przykro mi, że się nie zgadzasz, ale wyrażałem swoją opinię z doświadczenia. Nie sądzę, że to zasługuje na opinię.
MathewC
Mówiąc jasno, nie głosowałem na ciebie. Nie było takiej potrzeby. Twoje doświadczenie jest dokładnie tym, o czym lubiłem słyszeć. Dzięki!
Rebbot
Gdybym miał przedstawiciela, zagłosowałbym za tobą. Nie muszą podpisywać umowy NDA, aby zobaczyć Twoją Politykę bezpieczeństwa IT / Politykę InfoSec. (Istnieje różnica między polityką a standardem / procedurą) Istnieje wiele ważnych powodów, dla których trzeba zobaczyć politykę InfoSec dla organizacji (zgodność z Sox, PCI DSS itp.) Większość organizacji podaje to do wiadomości publicznej: obfs.uillinois.edu /manual/central_p/sec19-5.html
Josh Brower
To środek ostrożności. Jeśli nie chcesz go zabrać, aby się chronić, to zależy od ciebie. Podałem ważny powód, dla którego nie powinieneś tego robić. I przepraszam, że nie masz przedstawiciela, który głosowałby na mnie. Lubię rezerwować swoje głosy negatywne na złe / niebezpieczne odpowiedzi, a nie na politykę, z którą się nie zgadzam.
MathewC