Psané zásady zabezpečení informací jsou pro zabezpečení informací v organizaci zásadní. To platí pro velké i malé podniky, protože volné bezpečnostní standardy mohou způsobit ztrátu nebo krádež dat a osobních údajů. Písemné zásady poskytují zaměstnancům, návštěvníkům, dodavatelům nebo zákazníkům ujištění, že vaše firma bere zabezpečení jejich informací vážně.
Zásady zabezpečení informací jsou písemné pokyny pro zajištění bezpečnosti informací. Zásady by měly obsahovat pokyny pro hesla, používání zařízení, používání internetu, klasifikaci informací, fyzickou bezpečnost – jako při fyzickém zabezpečení informací – a požadavky na podávání zpráv.
Zásady pro hesla/PIN
Vytvoření zásad pro hesla a osobní identifikační čísla pomáhá zajistit, aby zaměstnanci vytvářeli své přihlašovací nebo přístupové údaje bezpečným způsobem. Běžným návodem je nepoužívat data narození, jména nebo jiné snadno dosažitelné informace.
Kontrola zařízení
Pro kontrolu přístupu k informacím by měly být stanoveny vhodné metody přístupu k počítačům, tabletům a chytrým telefonům. Mezi metody mohou patřit čtečky přístupových karet, hesla a kódy PIN.
Zařízení by měla být uzamčena, když se uživatel vzdálí. Přístupové karty by měly být odstraněny a hesla a kódy PIN by neměly být zapsány nebo uloženy na místě, kde by k nim mohl mít někdo přístup.
Zhodnoťte, zda by zaměstnancům mělo být povoleno přinášet si na pracoviště nebo v pracovní době vlastní zařízení a přistupovat k nim. Osobní zařízení mohou odvádět pozornost zaměstnanců od jejich povinností a také mohou způsobit náhodné narušení bezpečnosti informací.
Při navrhování zásad pro používání osobních zařízení berte v úvahu blaho zaměstnanců. Rodiny a blízcí potřebují kontakt se zaměstnanci, pokud doma nastane situace, která vyžaduje jejich pozornost. To může znamenat zajištění způsobu, jak mohou rodiny svým blízkým předávat zprávy.
Měly by být vypracovány postupy pro hlášení ztráty a poškození zařízení souvisejících s podnikem. Možná budete chtít zahrnout vyšetřovací metody pro určení zavinění a rozsahu ztráty informací.
Používání internetu/webu
Přístup k internetu na pracovišti by měl být omezen pouze na pracovní potřeby. Osobní používání webu nejenže vázne na zdrojích, ale přináší také rizika virů a může umožnit hackerům přístup k informacím.
Email by měl být provozován pouze prostřednictvím firemních e-mailových serverů a klientů, pokud vaše firma není postavena na modelu, který to neumožňuje.
Mnoho podvodů a pokusů o proniknutí do firem je iniciováno prostřednictvím e-mailu. Doporučují se pokyny pro řešení odkazů, zjevných pokusů o phishing nebo e-mailů z neznámých zdrojů.
Vypracujte dohody se zaměstnanci, které budou minimalizovat riziko odhalení informací z pracoviště prostřednictvím sociálních médií nebo jiných osobních sítí, pokud nesouvisí s podnikem.
Šifrování a fyzická bezpečnost
Možná budete chtít vypracovat postupy pro šifrování informací. Pokud má vaše firma informace, jako jsou čísla kreditních karet klientů, uložené v databázi, šifrování souborů přidává další míru ochrany.
Postupy kontroly klíčů a karet, jako jsou protokoly o vydávání klíčů nebo oddělené klíče pro různé oblasti, mohou pomoci kontrolovat přístup do oblastí ukládání informací.
Pokud je nutná identifikace, vypracujte metodu vydávání, protokolování, zobrazování a pravidelné kontroly identifikace.
Vypracujte návštěvní řád. Odbavení návštěvníků, přístupové odznaky a protokoly udrží zbytečné návštěvy pod kontrolou.
Požadavky na hlášení podle bezpečnostní politiky
Zaměstnanci musí pochopit, co musí hlásit, jak to musí hlásit a komu to mají hlásit. Měly by být zveřejněny jasné pokyny. Do zásad by mělo být implementováno školení a mělo by být provedeno tak, aby všichni zaměstnanci rozuměli postupům hlášení.
Posilte svůj tým
Jedním z klíčů k vytvoření efektivních zásad je zajistit, aby zásady byly jasné, snadno se dodržovaly a byly realistické. Zásady, které jsou příliš složité nebo kontrolující, podněcují lidi k tomu, aby systém obcházeli. Pokud zaměstnancům sdělíte potřebu zabezpečení informací a dáte jim pravomoc jednat, pokud zjistí bezpečnostní problém, vytvoříte bezpečné prostředí, kde budou informace v bezpečí.