ITポリシーは取締役会に適用されますか？どのようなポリシーが適用されますか？

組織内のすべての人がポリシーを遵守する必要があります。そうは言っても、彼らが担当しているので、彼らはポリシーを変更する権利の範囲内にあります。

それらはそれらを変更しないようにポリシーで販売されるべきです。 ITは、取締役会の投資を保護するためにそれを行っています。

編集：組織間で競合するポリシーに関しては、同じポリシーが適用されると言います。外部の請負業者のラップトップをどのように扱いますか？

スティーブに同意します-ただし、コンプライアンス違反の一般的な原因は、取締役または取締役会レベルです。これらの個人は、多くの場合、最新のテクノロジーを求めているか、スタッフよりも自由度や柔軟性を求めており、それを要求できる力を持っているため、情報セキュリティチームは、これらの場合の例外による安全なソリューション。

上級管理職/経営幹部がセキュリティポリシーに完全に賛同している場合、組織は通常、より堅牢で、ガバナンスとコンプライアンスがより簡単に示されますが、より一般的なビジネス組織では、セキュリティに影響を与えずにビジネスを可能にする妥協を行うことが目的です。過度に。

私の経験では、これはヨーロッパ、アメリカ、中東の国々の間、または業界間でそれほど変わりません。重要なのは、上級職の個人は自分のやり方でビジネスをしたいと考えており、通常、彼らが収益を上げれば、彼らのやり方はビジネスに適していると見なされ、情報セキュリティの専門家としての私たちの出番です。

個人が複数のボードに座っている状況は大きな問題です。セキュリティの理想は、明らかに各役割を完全に分離することですが、ディレクターに複数のラップトップを持ち歩くことはほとんどありません。通常は、1つのアカウントを使用し、1台のマシンからすべての電子メールとアクセスを管理します。間違いを犯さないように頼ることになります。

危険な！

仮想マシンによる分離は論理的な次のステップのように思われますが、私はこれを一度しか見たことがありません。これは高レベルで保護できますが、構成などに同意するには、組織間である程度の通信が必要です。

幸運にも、 ディレクターが個人的に責任を負う 管轄区域で業務を行うことができる場合は、適切な保護に故意に違反したことに対して、彼らがポリシーを遵守したほうがよいと彼らが気付くまで、あなたは彼らにその法律の一部を振ることができます。

取締役会のメンバーは、ポリシーが適用される会社のポリシーから逸脱してはなりません。ポリシーは、誰に何が適用され、違反の結果はどうなるかについて明確にする必要があります。ポリシーには、「許可されるか許可されないか」が人の立場と責任に依存するという矛盾した要素が含まれる可能性があります。取締役会は、彼らが答える人に方針を正当化する準備をする必要があります。株主、規制当局など.

ポリシーが関係している場合、自分自身を見つけたくない1つの位置は、ポリシーを回避する際にユーザーを故意に許可/支援する場所です。例外が必要な場合は、それらを文書化します。それでも、それらをポリシーの一部にする方がよいでしょう。取締役会が例外を文書化することに抵抗があり、それでも例外であると主張する場合は、履歴書を磨いてください。

取締役会のメンバーは、規則に従うことに関して他の従業員と何ら変わらないはずです。ただし、法的な制限がない限り、異なる一連のルールを適用するかどうかを決定するのは取締役会の責任です。

彼らに何が求められているかを理解するのは理事会メンバーの責任です。彼らが対立の立場に置かれた場合、彼らは両方の実体に手を差し伸べ、妥協点に到達しようとするべきです。技術的な観点から、最も簡単な解決策は、リソースの完全な分離、つまり2つの別々のマシンです。明らかに、これは最も使いやすいソリューションではありません。私は、彼らが仕事をするために必要なものへのアクセスが制限されている内部マシンへのリモートアクセスを彼らに与えるために撮影しようとしました。私は、個人のマシンからドキュメントを操作できる電子メールアクセスを提供するのが好きではありません。あなたが何をしようとも、それが文書化されていることを確認し、あなたはあなたがしていることをあなたの方針が述べていることをしている。