Geschreven informatiebeveiligingsbeleid is essentieel voor de informatiebeveiliging van de organisatie. Dit geldt voor zowel grote als kleine bedrijven, omdat losse beveiligingsnormen kunnen leiden tot verlies of diefstal van gegevens en persoonlijke informatie. Een schriftelijk beleid geeft werknemers, bezoekers, contractanten of klanten de verzekering dat uw bedrijf het beveiligen van hun informatie serieus neemt.

Informatiebeveiligingsbeleid zijn schriftelijke instructies voor het beveiligen van informatie. Het beleid moet richtlijnen bevatten voor wachtwoorden, het gebruik van apparaten, internetgebruik, informatieclassificatie, fysieke beveiliging – zoals het fysiek beveiligen van informatie – en rapportagevereisten.

Beleid voor wachtwoorden en persoonlijke identificatienummers

Het ontwikkelen van een beleid voor wachtwoorden en persoonlijke identificatienummers helpt ervoor te zorgen dat werknemers hun aanmeldings- of toegangscodes op een veilige manier maken. Een gebruikelijke richtlijn is om geen verjaardagen, namen of andere gemakkelijk te verkrijgen informatie te gebruiken.

Apparaatcontroles

Er moeten juiste methoden voor toegang tot computers, tablets en smartphones worden vastgesteld om de toegang tot informatie te controleren. Methoden kunnen bestaan uit toegangskaartlezers, wachtwoorden en pincodes.

De apparaten moeten worden vergrendeld wanneer de gebruiker wegstapt. Toegangskaarten moeten worden verwijderd, en wachtwoorden en PIN-codes mogen niet worden opgeschreven of opgeslagen op plaatsen waar ze kunnen worden geraadpleegd.

Benieuwd of werknemers hun eigen apparaten op de werkplek of tijdens kantooruren mogen meenemen en gebruiken. Persoonlijke apparaten kunnen werknemers afleiden van hun taken, maar ook onbedoelde inbreuken op de informatiebeveiliging veroorzaken.

Wanneer u beleid voor het gebruik van persoonlijke apparaten opstelt, moet u rekening houden met het welzijn van werknemers. Familieleden en geliefden moeten contact hebben met werknemers als er thuis een situatie is die hun aandacht vereist. Dit kan betekenen dat familieleden een manier moeten krijgen om berichten naar hun geliefden te sturen.

Procedures voor het melden van verlies en beschadiging van bedrijfsgerelateerde apparaten moeten worden ontwikkeld. U kunt onderzoeksmethoden opnemen om de schuld en de omvang van het informatieverlies vast te stellen.

Internet/Webgebruik

Internettoegang op de werkplek moet worden beperkt tot zakelijke behoeften. Niet alleen legt persoonlijk webgebruik beslag op middelen, maar het introduceert ook de risico’s van virussen en kan hackers toegang geven tot informatie.

E-mail dient uitsluitend via zakelijke e-mailservers en -clients te verlopen, tenzij uw bedrijf is opgebouwd rond een model dat dit niet toestaat.

Veel zwendel en pogingen om bedrijven te infiltreren worden geïnitieerd via e-mail. Richtlijnen voor het omgaan met koppelingen, schijnbare phishing-pogingen of e-mails van onbekende bronnen worden aanbevolen.

Ontwikkel afspraken met werknemers die het risico minimaliseren dat informatie op de werkplek wordt blootgesteld via sociale media of andere persoonlijke netwerksites, tenzij het bedrijfsgerelateerd is.

Encryptie en fysieke beveiliging

U wilt mogelijk encryptieprocedures voor uw informatie ontwikkelen. Als uw bedrijf informatie zoals creditcardnummers van klanten in een database heeft opgeslagen, voegt het versleutelen van de bestanden een extra beschermingsmaatregel toe.

Sleutel- en sleutelkaartcontroleprocedures, zoals logboeken voor de uitgifte van sleutels of aparte sleutels voor verschillende ruimten, kunnen helpen de toegang tot informatieopslagruimten te controleren.

Als identificatie nodig is, ontwikkel dan een methode voor de uitgifte, registratie, weergave en periodieke inspectie van identificatie.

Stel een bezoekersprocedure vast. Het inchecken van bezoekers, toegangsbadges en logboeken zullen onnodige bezoeken in toom houden.

Security Policy Reporting Requirements

Werknemers moeten begrijpen wat ze moeten melden, hoe ze het moeten melden, en aan wie ze het moeten melden. Er moeten duidelijke instructies worden gepubliceerd. Training moet worden geïmplementeerd in het beleid en worden uitgevoerd om ervoor te zorgen dat alle werknemers de meldingsprocedures begrijpen.

Empower Your Team

Een sleutel tot het maken van effectief beleid is ervoor te zorgen dat het beleid duidelijk, gemakkelijk na te leven en realistisch is. Een beleid dat te ingewikkeld of te controlerend is, zal mensen aanmoedigen het systeem te omzeilen. Als u de noodzaak van informatiebeveiliging overbrengt en uw werknemers in staat stelt te handelen als ze een beveiligingsprobleem ontdekken, ontwikkelt u een veilige omgeving waarin informatie veilig is.