Quali politiche e accordi in materia di sicurezza delle informazioni sono indispensabili per ogni azienda che si rispetti?

1

Suppongo che sia una buona idea fornire agli utenti di un sistema (o dipendenti) politiche e accordi relativi alla sicurezza delle informazioni. Che tipo di documenti dovrebbero essere considerati?

Ad esempio (in particolare):

  1. Politica di divulgazione responsabile
  2. Informativa sulla privacy
  3. Norme sulla password
  4. Politica di pulizia
  5. Accordo di non divulgazione / riservatezza
  6. Politica BYOD

O più generale:

  1. Termini generali
  2. Politica di informazione
  3. Politica di sicurezza delle informazioni

E riguardo il diritto al controllo, la normativa sui cookie dell'UE e il diritto all'oblio? E per esempio un documento / modulo era qualcuno che doveva firmare per ottenere una chiave fisica di un edificio? In quali documenti dovrebbe essere descritto e quali altre cose dovrebbero essere considerate?

    
posta Bob Ortiz 23.06.2016 - 00:25
fonte

2 risposte

4

Voglio iniziare la mia risposta dicendo che lavoro in IT Audit / Sicurezza e questa risposta deriva dalla mia professione.

I assume that it's a good idea to supply the users of a system (or employees) with policies and agreements regarding information security.

Questa non è solo una buona idea, ma essenziale per proteggere il tuo posto di lavoro. I vantaggi per l'implementazione di una politica IT di sicurezza aziendale sono numerosi, come quelli elencati di seguito:

  1. Responsabilità dell'utente
  2. Protezione da responsabilità
  3. Protezione più efficace dei dati aziendali e dei beni aziendali

La responsabilità degli utenti aumenta notevolmente perché gli utenti non possono più dire "non c'è politica" o "Non ho capito / so di avere una politica" La responsabilità della società è in qualche modo mitigata a causa della presenza di responsabilità di gestione come segno fuori su queste politiche implicherebbe. Infine, le politiche e le procedure di accompagnamento stabiliscono un metodo coerente e affidabile attraverso il quale la sicurezza delle informazioni viene implementata nell'azienda.

Per quanto riguarda cosa includere in tale politica, gli elementi che hai elencato sono buoni per iniziare ma non sono adeguati per il posto di lavoro moderno. Le politiche essenziali includeranno tra l'altro ... ma a mio avviso sono più critiche.

  1. Risposta agli incidenti
  2. Business continuity e disaster recovery

Per implementare una qualsiasi di queste norme, devi avere business e gestione buy in. senza impegno dall'alto, le politiche non hanno denti. Alla fine, la sicurezza IT è essenziale, ma in definitiva serve come un modo per raggiungere gli obiettivi di business. L'IT non può sopravvivere autonomamente.

    
risposta data 23.06.2016 - 04:02
fonte
3

La necessità di creare e catturare il riconoscimento delle politiche dipende da vari fattori come il presente o il previsto da eseguire in futuro audit di conformità, registrazione ecc. Le politiche che qualsiasi organizzazione dovrebbe prendere in considerazione saranno le seguenti

  1. criterio di utilizzo accettabile
  2. modifica il criterio di gestione
  3. Criteri di utilizzo della tecnologia cruciale
  4. Politica di conservazione dei dati
  5. criterio delle credenziali del database
  6. Politica di sensibilizzazione
  7. Politica di sicurezza delle informazioni
  8. Politica di protezione delle informazioni
  9. Norme sulla password
  10. Politica di crittografia accettabile
  11. Politiche specifiche di conformità

Poi ci sarebbero procedure e documenti come

  1. Procedura di controllo delle modifiche
  2. Piano di ripristino di emergenza
  3. Standard di configurazione
  4. Procedura di risposta agli incidenti ecc.

Qui il pubblico di destinazione e la frequenza di riconoscimento variano in base ai ruoli e alle responsabilità assegnati agli individui e alle esigenze aziendali dietro l'avere questi in primo piano ex. La politica delle password, la politica di sicurezza delle informazioni è per tutti e deve essere firmata annualmente o su modifiche considerevoli, tuttavia il piano di risposta agli incidenti o il piano di disaster recovery è applicabile solo alle persone che devono essere coinvolte nell'attività di contromisura.

Spero che questo aiuti.

    
risposta data 23.06.2016 - 05:19
fonte