capetron/cybersecurity-policy-templates

# 网络安全政策模板 这是一套即用型网络安全政策模板，适用于企业、IT团队和合规项目。每个政策都是一个独立的文档，可以直接采用或根据组织需求进行定制。这些模板与常见的合规框架保持一致，包括 NIST CSF、CIS Controls、CMMC、HIPAA、SOC 2 和 PCI DSS。 ## 包含的政策 | 政策 | 文件 | 关键主题 | |------|------|----------| | 可接受使用政策 | [acceptable-use-policy.md](policies/acceptable-use-policy.md) | 员工 IT 使用规则、禁止活动、监控披露 | | 密码策略 | [password-policy.md](policies/password-policy.md) | 长度、复杂性、多因素认证、密码管理器、服务账户 | | 远程访问策略 | [remote-access-policy.md](policies/remote-access-policy.md) | VPN 要求、家庭网络安全、批准设备 | | 移动设备管理（BYOD）政策 | [byod-policy.md](policies/byod-policy.md) | 个人设备注册、MDM、远程擦除、可接受使用 | | 事件响应策略 | [incident-response-policy.md](policies/incident-response-policy.md) | 检测、遏制、根除、恢复、经验教训 | | 数据分类策略 | [data-classification-policy.md](policies/data-classification-policy.md) | 分类级别、处理规则、标签、CUI | ## 如何使用这些模板 1. **Fork 或下载**此仓库 2. 替换所有 `[ORGANIZATION NAME]` 和 `[PLACEHOLDER]` 值 3. 在采用前让法务团队审核 4. 获得高管签字（每个政策均包含签字块） 5. 向员工分发并跟踪确认 6. 定期审查与更新（每年或发生重大变更时） ### 自定义提示 - 调整技术要求以匹配实际能力 - 使执行语言与 HR 政策保持一致 - 添加行业特定要求（如医疗行业的 HIPAA、支付处理的 PCI） - 引用具体工具（VPN 产品、MDM 平台、密码管理器等） ## 政策摘要 ### 可接受使用政策 定义员工、合同工及第三方如何组织使用 IT 资源。涵盖： - 公司系统、电子邮件和互联网的可接受与禁止使用 - 个人使用指南 - 社交媒体边界 - 监控与隐私预期 - 违规后果 - 知识产权保护 **合规映射：** CIS 控制 14、NIST CSF PR.AT、SOC 2 CC6.1 ### 密码策略 建立组织范围内认证凭证的要求。涵盖： - 最低密码长度（推荐不少于 16 位，符合 NIST 800-63b） - 组成规则（避免强制复杂性，优先长度） - 多因素认证要求 - 密码管理器使用要求 - 服务账户与共享凭证管理 - 禁用密码列表 - 账户锁定设置 - 密码过期（仅在怀疑泄露时更改，NIST 指导） **合规映射：** CIS 控制 5、NIST 800-171 3.5.x、PCI DSS 8.x ### 远程访问策略 规范从办公室外部访问组织资源的方式。涵盖： - VPN 要求与批准协议 - 所有远程连接的多因素认证 - 家庭网络安全基线（路由器固件、网络分段） - 批准设备要求 - 分隧道限制 - 会话超时与空闲断开 - 公共 Wi-Fi 限制 - 远程桌面与屏幕共享规则 **合规映射：** CIS 控制 12、NIST 800-171 3.1.12-3.1.15、SOC 2 CC6.6 ### 移动设备管理（BYOD）政策 规范员工使用个人设备访问公司数据。涵盖： - 设备注册要求 - MDM（移动设备管理）注册与功能 - 最低设备安全要求（操作系统版本、加密、屏幕锁定） - 支持的设备类型与操作系统 - 公司数据与个人数据隔离 - 远程擦除同意与条件 - 注册设备上的应用安装限制 - 离职与设备取消注册流程 **合规映射：** CIS 控制 1、NIST 800-171 3.1.18-3.1.19、HIPAA 164.310(d) ### 事件响应策略 定义检测、响应与恢复安全事件的流程。涵盖： - 事件分类（严重性级别 1-4） - 角色与职责（事件指挥官、响应团队、通信） - 检测与报告流程（联系对象、记录内容） - 遏制策略（短期与长期） - 证据保留要求 - 根除与恢复步骤 - 事后复盘（经验总结） - 监管通知要求（HIPAA、DFARS、州数据泄露法） - 第三方协调（执法部门、取证、法律） **合规映射：** CIS 控制 17、NIST 800-171 3.6.x、CMMC IR 域、HIPAA 164.308(a)(6) ### 数据分类策略 建立基于敏感度的信息分类与处理框架。涵盖： - 四个分类级别：公开、内部、机密、受限 - 各级别处理要求（存储、传输、共享、处置） - 标签与标记标准 - CUI（受控未分类信息）标记指南（针对国防承包商） - 数据所有者与保管人职责 - 重新分类流程 - 按分类级别划分的数据共享规则 **合规映射：** CIS 控制 3、NIST 800-171 3.8.x、SOC 2 CC6.5、CMMC MP 域 ## 政策模板结构 每个政策均遵循一致的结构以便快速采用： ``` 1. Purpose 2. Scope 3. Definitions 4. Policy Statements 5. Roles and Responsibilities 6. Enforcement 7. Exceptions 8. Related Policies 9. Revision History 10. Approval Signatures ``` ## 合规框架交叉参考 | 政策 | NIST CSF | CIS v8 | NIST 800-171 | CMMC L2 | SOC 2 | HIPAA | PCI DSS | |------|----------|--------|-------------|---------|-------|-------|---------| | 可接受使用 | PR.AT | 14 | 3.1.9 | AT.2.056 | CC6.1 | 164.310(b) | 12.3 | | 密码 | PR.AC | 5 | 3.5.1-3.5.11 | IA 域 | CC6.1 | 164.312(d) | 8.1-8.8 | | 远程访问 | PR.AC | 12 | 3.1.12-3.1.15 | AC 域 | CC6.6 | 164.312(e) | 8.1.5 | | BYOD | PR.AC | 1 | 3.1.18-3.1.19 | AC/MP | CC6.1 | 164.310(d) | -- | | 事件响应 | RS | 17 | 3.6.1-3.6.3 | IR 域 | CC7.3 | 164.308(a)(6) | 12.10 | | 数据分类 | ID.AM | 3 | 3.8.1-3.8.9 | MP 域 | CC6.5 | 164.312(a) | 9.5-9.8 | ## 版本追踪 每个政策均包含修订历史表： | 版本 | 日期 | 作者 | 变更 | |------|------|------|------| | 1.0 | `[Date]` | `[Author]` | 初始发布 | | 1.1 | `[Date]` | `[Author]` | `[变更描述]` | ## 许可证 MIT License - 详见 [LICENSE](LICENSE)。

标签：BYOD, CIS Controls, CMMC, CUI, HIPAA, IT治理, MDM, meg, NIST CSF, PCI DSS, SOC 2, VPN, 事件响应策略, 事件检测与响应, 企业合规, 企业安全, 信息安全, 可接受使用政策, 合规框架, 员工IT使用规范, 多因素认证, 定制化策略, 密码复杂性, 密码策略, 年度审查, 开源模板, 政策模板, 数据分类策略, 数据标签与处理, 文档模板, 移动设备管理, 签名审批流程, 网络安全策略, 网络资产管理, 远程擦除, 远程访问策略, 遏制与根除, 防御加固