Pisane polityki bezpieczeństwa informacji są niezbędne dla bezpieczeństwa informacji w organizacji. Dotyczy to zarówno dużych, jak i małych firm, ponieważ luźne standardy bezpieczeństwa mogą spowodować utratę lub kradzież danych i informacji osobowych. Pisemne zasady dają pracownikom, gościom, kontrahentom i klientom pewność, że firma poważnie traktuje zabezpieczenie ich informacji.
Polityki bezpieczeństwa informacji są pisemnymi instrukcjami dotyczącymi zachowania bezpieczeństwa informacji. Polityka powinna zawierać wytyczne dotyczące haseł, korzystania z urządzeń, korzystania z Internetu, klasyfikacji informacji, bezpieczeństwa fizycznego – jak w przypadku fizycznego zabezpieczania informacji – oraz wymagania dotyczące raportowania.
Polityka dotycząca haseł i numerów identyfikacyjnych
Opracowanie polityki dotyczącej haseł i osobistych numerów identyfikacyjnych pomaga zapewnić, że pracownicy tworzą swoje dane uwierzytelniające do logowania lub dostępu w bezpieczny sposób. Wspólne wytyczne mówią, aby nie używać dat urodzenia, nazwisk lub innych informacji, które są łatwo dostępne.
Device Controls
Właściwe metody dostępu do komputerów, tabletów i smartfonów powinny być ustanowione w celu kontroli dostępu do informacji. Metody mogą obejmować czytniki kart dostępu, hasła i kody PIN.
Urządzenia powinny być zamykane, gdy użytkownik odchodzi. Karty dostępu powinny być usuwane, a hasła i kody PIN nie powinny być zapisywane ani przechowywane w miejscu, w którym mogłyby być dostępne.
Oceń, czy pracownicy powinni mieć prawo do przynoszenia i dostępu do własnych urządzeń w miejscu pracy lub w godzinach pracy. Urządzenia osobiste mogą potencjalnie odciągać uwagę pracowników od ich obowiązków, a także powodować przypadkowe naruszenia bezpieczeństwa informacji.
Przy opracowywaniu zasad korzystania z urządzeń osobistych należy wziąć pod uwagę dobro pracowników. Rodziny i bliscy potrzebują kontaktu z pracownikami, jeśli w domu jest sytuacja, która wymaga ich uwagi. Może to oznaczać zapewnienie rodzinom możliwości przesyłania wiadomości do ich bliskich.
Należy opracować procedury zgłaszania utraty i uszkodzenia urządzeń związanych z działalnością firmy. Możesz chcieć uwzględnić metody dochodzenia w celu określenia winy i zakresu utraty informacji.
Internet/Web Usage
Dostęp do Internetu w miejscu pracy powinien być ograniczony tylko do potrzeb biznesowych. Prywatne korzystanie z sieci nie tylko pochłania zasoby, ale także wprowadza ryzyko wirusów i może dać hakerom dostęp do informacji.
Email powinien być obsługiwany wyłącznie przez biznesowe serwery i klientów poczty elektronicznej, chyba że Twoja firma jest zbudowana w oparciu o model, który na to nie pozwala.
Wiele oszustw i prób infiltracji firm jest inicjowanych za pośrednictwem poczty elektronicznej. Zalecane są wytyczne dotyczące postępowania z linkami, pozornymi próbami phishingu lub e-mailami z nieznanych źródeł.
Opracuj umowy z pracownikami, które zminimalizują ryzyko ujawnienia informacji o miejscu pracy za pośrednictwem mediów społecznościowych lub innych osobistych witryn sieciowych, chyba że są one związane z biznesem.
Szyfrowanie i bezpieczeństwo fizyczne
Możesz chcieć opracować procedury szyfrowania informacji. Jeśli w Twojej firmie informacje takie jak numery kart kredytowych klientów są przechowywane w bazie danych, szyfrowanie plików stanowi dodatkowy środek ochrony.
Procedury kontroli kluczy i kart kluczowych, takie jak rejestry wydawania kluczy lub oddzielne klucze dla różnych obszarów, mogą pomóc w kontroli dostępu do obszarów przechowywania informacji.
Jeśli konieczna jest identyfikacja, opracuj metodę wydawania, rejestrowania, wyświetlania i okresowego sprawdzania identyfikacji.
Otwórz procedurę dotyczącą gości. Odprawa gości, identyfikatory dostępu i dzienniki pozwolą utrzymać w ryzach niepotrzebne wizyty.
Polityka bezpieczeństwa Wymagania dotyczące raportowania
Pracownicy muszą rozumieć, co muszą zgłaszać, jak to zgłaszać i komu. Należy opublikować jasne instrukcje. Szkolenie powinno zostać wdrożone do polityki i być prowadzone w celu zapewnienia, że wszyscy pracownicy rozumieją procedury raportowania.
Empower Your Team
Jednym z kluczy do tworzenia skutecznych zasad jest upewnienie się, że zasady są jasne, łatwe do przestrzegania i realistyczne. Polityki, które są zbyt skomplikowane lub kontrolujące, będą zachęcać ludzi do obchodzenia systemu. Jeśli zakomunikujesz potrzebę zapewnienia bezpieczeństwa informacji i upoważnisz swoich pracowników do działania w przypadku wykrycia problemu z bezpieczeństwem, stworzysz bezpieczne środowisko, w którym informacje będą bezpieczne.
.