Voglio iniziare la mia risposta dicendo che lavoro in IT Audit / Sicurezza e questa risposta deriva dalla mia professione.
I assume that it's a good idea to supply the users of a system (or employees) with policies and agreements regarding information security.
Questa non è solo una buona idea, ma essenziale per proteggere il tuo posto di lavoro. I vantaggi per l'implementazione di una politica IT di sicurezza aziendale sono numerosi, come quelli elencati di seguito:
- Responsabilità dell'utente
- Protezione da responsabilità
- Protezione più efficace dei dati aziendali e dei beni aziendali
La responsabilità degli utenti aumenta notevolmente perché gli utenti non possono più dire "non c'è politica" o "Non ho capito / so di avere una politica" La responsabilità della società è in qualche modo mitigata a causa della presenza di responsabilità di gestione come segno fuori su queste politiche implicherebbe. Infine, le politiche e le procedure di accompagnamento stabiliscono un metodo coerente e affidabile attraverso il quale la sicurezza delle informazioni viene implementata nell'azienda.
Per quanto riguarda cosa includere in tale politica, gli elementi che hai elencato sono buoni per iniziare ma non sono adeguati per il posto di lavoro moderno.
Le politiche essenziali includeranno tra l'altro ... ma a mio avviso sono più critiche.
- Risposta agli incidenti
- Business continuity e disaster recovery
Per implementare una qualsiasi di queste norme, devi avere business e gestione buy in. senza impegno dall'alto, le politiche non hanno denti. Alla fine, la sicurezza IT è essenziale, ma in definitiva serve come un modo per raggiungere gli obiettivi di business. L'IT non può sopravvivere autonomamente.