Che ne pensi di una politica sulla privacy? Sia interno, sia esterno.
Punti chiave:
Dovrebbe delineare l'accettazione / appetito della sicurezza dell'organizzazione in modo che gli standard che supportano la politica possano essere definiti nell'ambiente corretto.
Ha anche bisogno di definire responsabilità, proprietà e sponsorizzazione.
Aggiornato solo per fornire alcuni esempi, come ho lasciato questa bella luce. Ad alto livello si dovrebbe avere le politiche minime per consentire di misurare, comprendere e regolare il rischio di tecnologia. Questi saranno anche richiesti da una prospettiva di governance in molti ambienti -
Probabilmente vorrai anche considerare quanto segue se offri servizi o prodotti a organizzazioni più grandi, poiché possono eseguire uno schema di governance che include le loro terze parti -
Nel Regno Unito è necessario definire i requisiti di protezione dei dati in relazione al Data Protection Act 1998. Si dovrebbe anche costruire la propria policy policy tenendo conto della famiglia di standard ISO27001, come molti audit di sicurezza e valutazioni per il regolatore e per il Il pezzo di revisione legale dei conti IT è strutturato intorno al 27001.
Una politica di sicurezza aziendale dovrebbe essere breve, facile da leggere e in termini generali. Dovrebbe essenzialmente elencare quali sono le minacce ei rischi complessivi per l'azienda e l'approccio generale per mitigarli.
Ad esempio, se si ha un'azienda il cui valore è nei dati archiviati in un database, una politica di sicurezza aziendale può indicare che il database deve essere protetto con controlli di sicurezza a più livelli, inclusi controlli di accesso alla rete e controlli di crittografia e forse che i dati sensibili dovrebbero essere archiviati in sistemi che esistono sotto stretto controllo delle modifiche.
L'implementazione di questi dettagli dipenderà più specificatamente dal sistema stesso e dalle tecnologie standard scelte dal business e quindi dovrebbe essere dettagliata nella documentazione di livello inferiore.
Sono d'accordo con i commenti di cui sopra - la politica "giusta" dipende in gran parte dalla tua organizzazione.
Tuttavia, potrebbe essere utile rivedere la serie ISO / IEC 27000, che è un insieme di standard per la gestione della sicurezza delle informazioni spesso adottato da organizzazioni IT di grandi dimensioni ( link , link ).
Ad esempio, 27002 è un "codice di pratica" che copre cose come:
Anche se non lo adotti completamente, inizierei con quello standard per sviluppare una tabella dei contenuti per la tua politica.
Dipende: quali sono i maggiori rischi per la tua azienda? La politica di sicurezza non dovrebbe riguardare il mandare un anti-virus perché tutti i ragazzi fantastici hanno un antivirus, dovrebbe capire quali minacce è più importante che tu mitighi e definire una strategia (anche se non tattiche ) per eseguire tale mitigazione.
Leggi altre domande sui tag privacy corporate-policy