Перевод NISTIR 7621 — 4.3 Политика ИБ

4.3 Создайте бизнес-политику, связанную с информационной безопасностью.

Каждому бизнесу необходимо написать политику ИБ, чтобы определить приемлемые методы защиты и ожидания для бизнес-процессов.

Некоторые политики будут связаны с человеческими ресурсами, другие будут связаны с ожидаемыми действиями сотрудников при использовании бизнес ресурсов, таких как телефоны, компьютеры, принтеры, факсы и доступ в интернет. Это не исчерпывающий список и круг потенциальных политик во многом определяется типом бизнеса и степенью контроля и подотчетности, требуемой менеджментом. Правовые и нормативные требования могут также потребовать ввести и применять определенные политики.

Политики информационной, компьютерной, сетевой и интернет безопасности, должны четко доносить до сотрудников ожидания бизнеса, что должно использоваться надлежащим образом. Эти политики должны идентифицировать информацию и другие ресурсы, которые важны для руководителей, и в них должно быть четко описано, как эти ресурсы должны быть использоваться и защищаться всеми сотрудниками.

Например, типичное положение о конфиденциальной информации сотрудников может звучать так: «Все персональные данные сотрудников должны быть защищены от просмотра или изменения не авторизованными пользователями.» Это утверждение идентифицирует конкретный тип информации и затем описывает защиту, которая должна быть предоставлена этой информации.

Политики должны быть доведены до каждого сотрудника, и все сотрудники должны подписать соглашения о том, что они прочитали политики, что они будут следовать им, и что они понимают о возможных штрафах за нарушение этих политик. Это поможет руководству привлечь сотрудников к ответственности за нарушение бизнес политик. Как замечено, должны быть штрафы за игнорирование бизнес политики. И эти санкции должны быть применены справедливо и последовательно для всех в бизнесе, кто нарушает политику бизнеса.

Поделитесь
  •  
  •  
  •  
  •  
  •  
  •  

Добавить комментарий