Sto scrivendo una politica aziendale su come i dipendenti devono gestire i report di eventi relativi alla sicurezza delle informazioni e notifiche provenienti da fornitori, clienti e persone all'interno della nostra organizzazione.
per es.
- Se un cliente chiama e dice che i suoi dati sono stati compromessi e dobbiamo dare la colpa a
- Qualcuno riceve e-mail non richieste o sospette dal nostro dominio.
- Strane finestre a comparsa sulle workstation
- ecc.
Nota: non disponiamo ancora di una politica di risposta agli incidenti o di informazioni sulla sicurezza.
La mia domanda è se questo tipo di documento sia una politica a sé stante o una parte di una politica di sicurezza delle informazioni o di una politica di risposta agli incidenti più ampia. Attualmente la definisco una "Politica di segnalazione della sicurezza delle informazioni". Questo rientra nell'ambito di una politica di sicurezza delle informazioni o di politica di risposta agli incidenti o potrebbe andare in qualsiasi modo o non importa fino a quando è scritto, chiaro, compreso e seguito.
Volevo un semplice documento di una sola pagina che potesse essere passato agli utenti attraverso un nuovo corso di formazione o da H.R ..
Fondamentalmente afferma ...
- Tipo di documento di problema e descrizione
- Chi ha segnalato? Richiedi informazioni di contatto (nome, telefono, e-mail) e acconsenti ad essere contattato da personale o amministratore della sicurezza
- Data e ora dell'occorrenza del documento
- Se applicabile alla situazione chiedi sistema operativo, browser, A / V, uso di firewall, uso della rete wireless ecc.
- Come e chi segnalare a (intensificare)
Qualcun'altro dovrebbe essere menzionato, rimosso o modificato? Questo suona ragionevole, cosa stai pensando?
Grazie Jon