Minha empresa está trabalhando com outra empresa e, como parte do contrato, está solicitando uma cópia da Política de segurança de TI por escrito da minha empresa. Eu não tenho uma política de segurança de TI escrita, e não sei exatamente o que quero dar a eles. Somos uma loja da Microsoft. Temos agendas de atualização, contas de acessos limitados para gerenciar servidores, firewalls, certificados SSL e executamos o Microsoft Baseline Security Analyzer de tempos em tempos.
Nós configuramos serviços e contas de usuário como achamos que é mais seguro (é difícil quando você não tem controle total sobre o software que você executa), mas eu não posso entrar em cada detalhe, cada serviço e servidor é diferente. Estou recebendo mais informações sobre o que eles querem, mas sinto que estão em uma expedição de pesca.
Minhas perguntas são: Esta é uma prática padrão para pedir esta informação? (Eu não sou contra isso honestamente, mas nunca aconteceu antes.) E se isso é padrão, existe um formato padrão e um nível esperado de detalhes que devo apresentar?