Skrivna informationssäkerhetspolicyer är viktiga för organisationens informationssäkerhet. Detta gäller både stora och små företag, eftersom lösa säkerhetsstandarder kan leda till förlust eller stöld av data och personlig information. Skriftliga riktlinjer ger anställda, besökare, entreprenörer eller kunder garantier för att ditt företag tar säkerheten för deras information på allvar.
Informationssäkerhetsprinciper är skriftliga instruktioner för att hålla information säker. Policyn bör innehålla vägledning om lösenord, användning av enheter, internetanvändning, informationsklassificering, fysisk säkerhet – som att säkra informationen fysiskt – och rapporteringskrav.
Policy för lösenord och personnummer
Att utveckla en policy för lösenord och personnummer hjälper till att se till att de anställda skapar sina inloggnings- eller åtkomstuppgifter på ett säkert sätt. Vanlig vägledning är att inte använda födelsedagar, namn eller annan information som är lätt att nå.
Enhetskontroller
Det bör upprättas korrekta metoder för åtkomst till datorer, surfplattor och smarttelefoner för att kontrollera åtkomsten till information. Metoderna kan omfatta kortläsare, lösenord och PIN-koder.
Enheter bör låsas när användaren lämnar dem. Åtkomstkort bör tas bort, och lösenord och PIN-koder bör inte skrivas ner eller förvaras där de kan komma åt.
Utvärdera om de anställda bör tillåtas att ta med sig och komma åt sina egna enheter på arbetsplatsen eller under kontorstid. Personliga enheter har potential att distrahera de anställda från sina arbetsuppgifter samt skapa oavsiktliga brott mot informationssäkerheten.
När du utformar policyer för användning av personliga enheter ska du ta hänsyn till de anställdas välbefinnande. Familjer och närstående behöver kontakt med anställda om det finns en situation hemma som kräver deras uppmärksamhet. Detta kan innebära att tillhandahålla ett sätt för familjer att få meddelanden till sina nära och kära.
Procedurer för att rapportera förlust och skada av företagsrelaterade enheter bör utvecklas. Du kanske vill inkludera utredningsmetoder för att fastställa skuld och omfattningen av informationsförlusten.
Internet/Webanvändning
Access till Internet på arbetsplatsen bör begränsas till endast affärsbehov. Personlig webbanvändning binder inte bara resurser, utan medför också risker för virus och kan ge hackare tillgång till information.
E-post bör endast ske via e-postservrar och e-postklienter för företag, såvida inte företaget är uppbyggt kring en modell som inte tillåter det.
Många bedrägerier och försök att infiltrera företag initieras via e-post. Vägledning för hur man hanterar länkar, uppenbara phishingförsök eller e-post från okända källor rekommenderas.
Utarbeta avtal med anställda som minimerar risken för exponering av information på arbetsplatsen via sociala medier eller andra personliga nätverkssajter, såvida det inte är företagsrelaterat.
Kryptering och fysisk säkerhet
Du kanske vill utveckla krypteringsrutiner för din information. Om ditt företag har information som t.ex. kundernas kreditkortsnummer lagrade i en databas, ger kryptering av filerna ett extra skydd.
Nyckel- och nyckelkortskontrollrutiner, t.ex. loggar för nyckelutlämning eller separata nycklar för olika områden, kan hjälpa till att kontrollera åtkomsten till lagringsutrymmen för information.
Om identifiering behövs, ta fram en metod för att utfärda, logga, visa och regelbundet inspektera identifiering.
Utarbeta en besöksrutin. Incheckning av besökare, tillträdesbrickor och loggar håller onödiga besök i schack.
Säkerhetspolicy Rapporteringskrav
Medarbetare måste förstå vad de måste rapportera, hur de måste rapportera det och vem de ska rapportera det till. Tydliga instruktioner bör publiceras. Utbildning bör implementeras i policyn och genomföras för att se till att alla anställda förstår rapporteringsrutinerna.
Stärk ditt team
En nyckel till att skapa effektiva policyer är att se till att policyn är tydlig, lätt att följa och realistisk. Policyer som är alltför komplicerade eller kontrollerande kommer att uppmuntra människor att kringgå systemet. Om du kommunicerar behovet av informationssäkerhet och ger dina anställda möjlighet att agera om de upptäcker ett säkerhetsproblem, kommer du att utveckla en säker miljö där informationen är säker.