すべての自尊心のある企業にとって、情報セキュリティに関するどのようなポリシーと合意が必要ですか?
システムのユーザー(または従業員)に情報セキュリティに関するポリシーと合意を提供することは良い考えだと思います。どのような文書を検討する必要がありますか?
たとえば(具体的に):
- 責任ある開示方針
- 個人情報保護方針
- パスワードポリシー
- クリーンデスクポリシー
- 秘密保持/機密保持契約
- BYODポリシー
またはより一般的:
- 一般用語
- 情報ポリシー
- 情報セキュリティポリシー
監査権、EU cookie-law、忘れられる権利についてはどうですか?そして、例えば、誰かが建物の物理的な鍵を取得するために署名する必要がある文書/フォームはありましたか?それはどの文書に記述されるべきであり、他にどのようなことを考慮すべきですか?
私はIT監査/セキュリティで働いていると言って答えを始めたいと思います。この答えは私の職業に由来しています。
システムのユーザー(または従業員)に情報セキュリティに関するポリシーと合意を提供することは良い考えだと思います。
これは良い考えであるだけでなく、職場を保護するために不可欠です。エンタープライズITセキュリティポリシーを実装することの利点は、以下のように数多くあります。
- ユーザーの説明責任
- 責任からの保護
- 会社のデータと企業資産のより効果的な保護
ユーザーが「ポリシーがない」または「ポリシーがあったことを理解していなかった/知っていた」と言うことができなくなったため、ユーザーの説明責任が大幅に向上しました。ポリシーは意味します。最後に、ポリシーとそれに伴う手順は、企業で情報セキュリティを実装するための一貫した信頼できる方法を設定します。
そのようなポリシーに何を含めるかについては、リストした項目は開始には適していますが、現代の職場には不十分です。基本的なポリシーには特に含まれます...しかし、私の見解ではこれらはより重要です。:
- インシデント対応
- ビジネス継続性とディザスタリカバリ
これらのポリシーのいずれかを実装するには、ビジネスと経営陣の賛同が必要です。トップからのコミットメントがなければ、ポリシーには歯がありません。結局のところ、ITセキュリティは不可欠ですが、最終的にはビジネス目標を達成する方法として機能します。 ITはそれ自体で孤立して生き残ることはできません。
ポリシーの作成と承認の取得の必要性は、現在または将来のコンプライアンス監査、ロギングなどで行われると予想されるさまざまな要因によって異なります。組織が考慮すべきポリシーは次のとおりです。
- 利用規定
- 変更管理ポリシー
- 重要なテクノロジーの使用ポリシー
- データ保持ポリシー
- データベース資格情報ポリシー
- 情報機密ポリシー
- 情報セキュリティポリシー
- 情報保護ポリシー
- パスワードポリシー
- 許容可能な暗号化ポリシー
- コンプライアンス固有のポリシー
次に、次のような手順とドキュメントがあります
- 変更管理手順
- 災害復興計画
- 構成基準
- インシデント対応手順など.
ここで、対象読者と承認の頻度は、個人に割り当てられた役割と責任、およびこれらを最初に把握することの背後にあるビジネス要件に基づいて異なります。パスワードポリシー、情報セキュリティポリシーはすべての人を対象としており、毎年または大幅な変更を加えて署名する必要がありますが、インシデント対応計画または災害復旧計画は、対策活動に従事する必要がある人にのみ適用されます。
お役に立てれば。